Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 3)
- Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)
- Предварительная аутентификация LDAP с брандмауэрами ISA 2006: Использование LDAP для предварительной аутентификации доступа к OWA (Часть 2)
Настройте серверы LDAP в консоли брандмауэра ISA.
Чтобы использовать аутентификацию LDAP, вам необходимо настроить брандмауэр ISA с именами серверов LDAP, которые вы хотите использовать для предварительной аутентификации входящих соединений. Есть две процедуры, связанные с настройкой серверов LDAP для использования брандмауэром ISA для предварительной аутентификации:
- Определите наборы серверов LDAP, к которым брандмауэр ISA Firewall может обращаться для аутентификации учетных данных пользователя.
- Определите выражения для входа в систему, которые брандмауэр ISA может использовать для определения маршрута запроса LDAP. Выражения входа определяют, какой сервер LDAP отвечает за конкретный запрос аутентификации.
Обсудить эту статью |
Чтобы настроить серверы LDAP, откройте консоль ISA Firewall и разверните узел Arrays, а затем разверните имя массива. Разверните узел Конфигурация и щелкните узел Общие. На средней панели щелкните ссылку Укажите серверы RADIUS и LDAP.
фигура 1
Перейдите на вкладку Серверы LDAP в диалоговом окне Серверы аутентификации. Нажмите кнопку «Добавить» рядом со списком наборов серверов LDAP.
В диалоговом окне Добавить набор серверов LDAP введите имя набора серверов LDAP. В этом примере мы создадим набор серверов LDAP для домена msfirewall.org, поэтому мы поместим MSFIREWALL в текстовое поле имени набора серверов LDAP.
Нажмите кнопку «Добавить» в диалоговом окне «Добавить набор серверов LDAP». В диалоговом окне Добавить сервер LDAP введите полное доменное имя контроллера домена msfirewall.org. В этом примере имя контроллера домена для контроллера домена msfirewall.org — exchange2003be.msfirewall.org, поэтому мы вводим его в текстовое поле Имя сервера. Поле Описание сервера является необязательным, и вы можете оставить значение Время ожидания (в секундах) без изменений, если только у вас нет проблем с сетью, которые могут потребовать увеличения этого значения.
фигура 2
Нажмите OK в диалоговом окне Добавить сервер LDAP.
Обратите внимание, что мы ввели полное доменное имя для имени сервера. Нам нужно сделать это, потому что мы будем использовать аутентификацию сертификата LDAPS, когда ISA Firewall взаимодействует с контроллером домена. Если вы ввели IP-адрес в текстовое поле Имя сервера, аутентификация LDAPS завершится ошибкой, поскольку значение в текстовом поле Имя сервера должно совпадать с общим/субъектным именем в сертификате сервера, установленном на контроллере домена. Поскольку мы установили ЦС предприятия на контроллерах домена, в нашем сценарии на каждом контроллере домена был автоматически создан самозаверяющий сертификат компьютера. Если бы мы не установили ЦС предприятия на контроллерах домена, нам пришлось бы создавать сертификаты машин вручную.
ПРИМЕЧАНИЕ:
Обратите очень пристальное внимание на последнее предложение в последнем абзаце, и важно, чтобы его не воспринимали легкомысленно. Назначение сертификата сервера для контроллеров домена в нашем текущем сценарии было очень простым, поскольку мы установили центр сертификации предприятия на контроллерах домена. Если вы не установили ЦС предприятия на своих контроллерах домена, вы должны установить сертификат компьютера на контроллерах домена. Лучший способ сделать это — установить ЦС предприятия где-нибудь в вашей среде, а затем настроить групповую политику для автоматической подачи заявок на сертификаты компьютеров. Эта статья и так очень длинная, и подробные инструкции по авторегистрации выходят за рамки этой статьи. Подробное описание того, как настроить автоматическую регистрацию (и все другие сценарии развертывания сертификатов), см. в ISA Server 2000 VPN Deployment Kit на веб-сайте ISAserver.org.
В текстовом поле Введите доменное имя Active Directory (используйте полное доменное имя) введите полное доменное имя доменного имени Active Directory, используемого набором серверов LDAP. В этом примере мы создаем набор для домена msfirewall.org, поэтому мы вводим это значение в текстовое поле.
Рисунок 3
Для поддержки изменения пароля пользователя с помощью предварительной аутентификации LDAP на брандмауэре ISA Firewall мы должны включить поддержку LDAPS. Чтобы LDAPS работал, вы должны установить сертификат машины на контроллерах домена с правильным общим/субъектным именем в сертификатах. Самый простой способ сделать это — использовать корпоративный ЦС и включить автоматическую регистрацию с помощью групповой политики.
ISA Firewall нуждается в сертификатах выдающих CA, установленных в его собственном хранилище сертификатов Trusted Root Certification Authorities (а не в хранилище пользователей или служб ), чтобы он доверял сертификатам, установленным на контроллерах домена. Мы уже установили сертификаты ЦС на брандмауэре ISA, когда установили сертификаты веб-сайта в хранилище сертификатов машины брандмауэра ISA.
Когда аутентификация LDAPS включена для поддержки изменения пароля пользователя, параметр «Использовать глобальный каталог» должен быть отключен, и вы должны ввести полное доменное имя доменного имени Active Directory в поле «Введите доменное имя Active Directory» (используйте полное доменное имя). ) текстовое поле. Если вы не хотите включать управление паролями, вы можете установить флажок Использовать глобальный каталог (GC) и оставить имя домена Active Directory пустым.
Поскольку мы хотим поддерживать смену паролей для удаленных пользователей, мы также должны предоставить учетные данные пользователя, которые можно использовать для доступа к Active Directory для проверки состояния учетной записи пользователя и изменения пароля учетной записи. Это может быть любой пользователь в Active Directory, и для этого не требуются учетные данные администратора домена. Введите имя пользователя в текстовое поле Имя пользователя и пароль в текстовое поле пароля. В этом примере мы будем использовать учетную запись пользователя доменного имени, как показано на рисунке выше.
ПРИМЕЧАНИЕ:
Вам не нужно использовать учетную запись администратора домена. Вы можете использовать учетную запись обычного пользователя для подключения к Active Directory. В этом примере я использую учетную запись администратора домена Active Directory, потому что мне лень создавать нового пользователя.
Нажмите кнопку «ОК» в диалоговом окне «Добавить набор серверов LDAP», чтобы завершить настройку набора серверов LDAP msfirewall.org.
Теперь мы должны создать второй набор серверов LDAP для домена pixkiller.net. Создайте второй набор серверов, используя информацию, представленную на рисунке ниже.
Рисунок 4
Мы завершили первый шаг, который заключался в создании наборов серверов LDAP. Второй шаг — создать правила, которые брандмауэр ISA Firewall будет использовать для перенаправления запросов аутентификации на правильный сервер аутентификации. Эти правила основаны на элементах строк журнала пользователей.
Например, пользователи могут войти на два сайта OWA, используя следующие строки входа:
Основываясь на этой информации, мы можем создавать правила, основанные на подстановочных знаках и элементах этих строк аутентификации, чтобы брандмауэр ISA перенаправлял попытку аутентификации на правильный контроллер домена. Например:
Попытки аутентификации, содержащие эти строки, будут перенаправлены на набор серверов LDAP MSFIREWALL. Другой пример:
Попытки аутентификации, содержащие эти строки, будут перенаправляться на набор серверов LDAP PIXKILLER.
Чтобы создать эти правила, нажмите кнопку «Создать», расположенную справа от списка «Определить выражения для входа в систему», которые ISA Server будет использовать для соответствия списку строк входа пользователя. В диалоговом окне Новое сопоставление сервера LDAP введите выражение входа в систему MSFIREWALL* в текстовом поле Выражение входа. В раскрывающемся списке «Набор серверов LDAP» выберите запись MSFIREWALL. Нажмите ОК.
Рисунок 5
Нажмите «Создать» еще раз и создайте второе сопоставление сервера LDAP. На этот раз введите выражение для входа в систему как *@msfirewall.org и выберите запись MSFIREWALL в раскрывающемся списке набора серверов LDAP.
Рисунок 6
Нажмите «Создать» еще раз, чтобы создать третье сопоставление сервера LDAP. На этот раз введите PIXKILLER* в текстовое поле Выражение для входа и выберите запись PIXKILLER в раскрывающемся списке наборов серверов LDAP. Нажмите ОК.
Рисунок 7
Щелкните Создать, чтобы создать последнее сопоставление сервера LDAP. Введите *@pixkiller.net в текстовое поле Выражение для входа. Выберите PIXKILLER в раскрывающемся списке «Набор серверов LDAP». Нажмите ОК.
Рисунок 8
На рисунке ниже показан список выражений входа в систему. Обратите внимание, что вы можете использовать стрелки вверх и вниз для изменения порядка правил (хотя на момент написания этой статьи я не мог придумать сценарий, в котором размещение в списке было бы проблемой). Нажмите «Применить», а затем нажмите «ОК». Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра, и нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».
Рисунок 9
Обсудить эту статью |
Создайте первое правило веб-публикации для первого сервера OWA.
Теперь мы можем приступить к созданию правил веб-публикации, которые публикуют OWA-сайты msfirewall.org и pixkiller.net. Сначала мы создадим правило веб-публикации msfirewall.org, а затем создадим правило веб-публикации pixkiller.net, используя правило веб-публикации msfirewall.org в качестве шаблона.
Выполните следующие шаги, чтобы создать правило веб-публикации OWA msfirewall.org:
- В консоли брандмауэра ISA щелкните узел «Политика брандмауэра» на левой панели консоли и щелкните вкладку «Задачи» на панели задач. Щелкните ссылку Опубликовать доступ к веб-клиенту Exchange на панели задач.
- На странице Вас приветствует мастер создания нового правила публикации Exchange введите имя правила в текстовом поле Имя правила публикации Exchange. В этом примере мы назовем правило MSFIREWALL OWA и нажмем Next.
- На странице «Выбор служб» выберите параметр «Exchange Server 2003» в раскрывающемся списке «Версия Exchange». Поставьте галочку в поле Outlook Web Access. Нажмите «Далее».
Рисунок 10
- На странице «Тип публикации» выберите параметр «Опубликовать один веб-сайт или балансировщик нагрузки» и нажмите «Далее».
Рисунок 11
- На странице Безопасность подключения к серверу выберите параметр Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов. Это позволяет брандмауэру ISA создавать безопасное SSL-соединение от своего внутреннего интерфейса к опубликованному серверу OWA. Это гарантирует наличие непрерывного защищенного соединения между клиентом OWA в Интернете и сервером OWA в корпоративной сети. Нажмите «Далее».
Рисунок 12
- На странице «Сведения о внутренней публикации» введите общее/субъектное имя сертификата веб-сайта, привязанного к публикуемому веб-сайту OWA. Поскольку это правило веб-публикации OWA для веб-сайта OWA msfirewall.org, общее имя/тема в сертификате веб-сайта, привязанном к сайту OWA, будет owa.msfirewall.org. Поэтому мы вводим owa.msfirewall.org в текстовое поле «Внутреннее имя сайта».
Это критический параметр, и его важность не разъясняется в тексте на странице сведений о внутренней публикации. Имя, которое вы вводите в текстовое поле Внутреннее имя сайта, должно быть общим/субъектным именем в сертификате веб-сайта, связанном с сайтом OWA. Многие администраторы брандмауэра ISA ошибаются в значении этого текстового поля и вводят фактическое имя компьютера или фактическое полное доменное имя компьютера сайта OWA. Например, в нашем текущем примере фактическое имя компьютера, на котором размещается веб-сайт OWA msfirewall.org, — exchange2003be или exchange2003be.msfirewall.org. Вы не должны вводить фактическое имя компьютера в текстовое поле Внутреннее имя сайта.
В предыдущих версиях брандмауэра ISA вам приходилось вводить запись в файле HOSTS (или развертывать разделенную инфраструктуру DNS) для общего/тематического имени в сертификате веб-сайта OWA, чтобы это имя разрешалось в IP-адрес сайта OWA на внутренняя сеть. Это произошло потому, что одно и то же имя использовалось для разрешения IP-адреса сайта OWA и имени, которое будет отправлено в SSL CONNECT. С брандмауэрами ISA 2006 вам больше не нужно этого делать. Имя, введенное в поле «Внутреннее имя сайта», будет использоваться для ПОДКЛЮЧЕНИЯ, а запись, введенная в поле «Имя компьютера» или «IP-адрес», будет использоваться для перенаправления соединения в нужное место. Вы можете ввести фактическое имя компьютера или IP-адрес в текстовом поле Имя компьютера или IP-адрес. В нашем текущем примере IP-адрес OWA-сервера msfirewall.org — 10.0.0.2, поэтому мы введем это значение в текстовое поле Имя компьютера или IP-адрес.
Нажмите «Далее».
Рисунок 13
- На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в раскрывающемся списке Принять запрос на. В текстовом поле Общедоступное имя введите общее/субъектное имя сертификата веб-сайта, который будет привязан к веб-приемнику, который вы будете использовать в этом правиле веб-публикации. Сертификат веб-сайта, который мы будем использовать, имеет общее/тематическое имя owa.msfirewall.org, поэтому мы введем owa.msfirewall.org в текстовое поле Общедоступное имя.
Это критический параметр, поскольку это имя, которое внешние пользователи будут использовать для доступа к сайту OWA. Вам потребуется настроить внешние DNS-серверы для преобразования этого имени в IP-адрес на внешнем интерфейсе брандмауэра ISA, который веб-прослушиватель будет настроен для прослушивания (я предполагаю, что брандмауэр ISA является пограничным устройством безопасности, поскольку это то, для чего он был разработан, и имеет публичный адрес; ситуация отличается, если вы поместите устройство NAT перед брандмауэром ISA).
Нажмите «Далее».
Рисунок 14
- На странице «Выбор веб-прослушивателя» нажмите кнопку «Создать».
- На странице Добро пожаловать в мастер создания нового веб-прослушивателя введите имя веб-прослушивателя в текстовом поле Имя веб-прослушивателя. В этом примере мы будем использовать этот веб-прослушиватель для правил веб-публикации OWA msfirewall.org и pixkiller.net, поэтому мы введем OWA SSL в текстовое поле и нажмем Next.
- На странице «Безопасность клиентских подключений» выберите параметр «Требовать защищенные SSL-соединения с клиентом». Это заставит внешних веб-клиентов OWA использовать SSL при подключении к внешнему интерфейсу ISA Firewall. Нажмите «Далее».
Рисунок 15
- На странице «IP-адреса веб-прослушивателя» установите флажок « Внешний». Оставьте галочку в ISA Server, чтобы сжимать контент, отправляемый клиентам через веб-прослушиватель, если клиенты, запрашивающие контент, поддерживают сжатие.
Хотя брандмауэр ISA позволяет вам привязать несколько сертификатов к одному веб-прослушивателю, он не устраняет проблему, связанную с наличием отдельного IP-адреса для каждого сертификата веб-сайта. Для каждого сертификата веб-сайта должен быть свой IP-адрес. Один IP-адрес нельзя использовать для нескольких сертификатов из-за текущих ограничений в протоколе SSL и реализациях клиент/сервер, а не из-за каких-либо внутренних ограничений брандмауэра ISA. Это означает, что мы не можем использовать этот прослушиватель для прослушивания всех IP-адресов для всех сертификатов. Нам нужно назначить каждому сертификату IP-адреса. Чтобы решить эту проблему, нам нужно нажать кнопку «Выбрать IP-адреса».
Рисунок 16
- На странице «Выбор IP-адреса прослушивателя внешней сети» выберите указанные IP-адреса на компьютере с ISA-сервером в выбранном параметре сети. Дважды щелкните каждый IP-адрес в списке Доступные IP-адреса. Это переместит IP-адреса в список Выбранные IP-адреса в правой части диалогового окна. Обратите внимание на кнопку «Добавить IP», появившуюся в брандмауэре ISA 2006 года. Нажмите ОК.
Рисунок 17
- Щелкните Далее на странице IP-адресов веб-прослушивателя.
- На странице SSL-сертификаты прослушивателя выберите параметр Назначить сертификат для каждого IP-адреса. Затем выберите IP-адрес, который будет прослушивать входящие соединения для OWA-сайта msfirewall.org. В этом примере IP-адрес 192.168.1.71 будет настроен в DNS для приема входящих подключений к OWA-сайту msfirewall.org. Выберите этот IP-адрес и нажмите «Выбрать сертификат».
Рисунок 18
- На странице Select Certificate вы увидите список сертификатов, установленных на брандмауэре ISA Firewall, которые могут использоваться веб-прослушивателем. Это одно из больших улучшений нового брандмауэра ISA Firewall. В ISA 2004 попытка выяснить, почему конкретный сертификат не работает, была сложной задачей, но с новым брандмауэром ISA вы получаете полную диагностику прямо в консоли брандмауэра ISA. Бьюсь об заклад, ваш ASA или Blue Coat этого не делает!
В этом примере выберите сертификат owa.msfirewall.org из списка сертификатов. В разделе «Сведения об установке сертификата» вы можете увидеть информацию о сертификате. Обратите внимание, что флажок Показать только действительные сертификаты установлен по умолчанию. Если вы не видите свой сертификат в списке доступных сертификатов, снимите галочку с этого флажка. Появится сертификат, и вы получите полезную диагностическую информацию о том, почему сертификат недействителен.
Выберите сертификат owa.msfirewall.org и нажмите кнопку «Выбрать».
Рисунок 19
- В диалоговом окне Listener SSL Certificates вы увидите, что сертификат owa.msfirewall.org теперь привязан к 192.168.1.71. Теперь выберите запись 192.168.1.72 из списка и нажмите кнопку «Выбрать сертификат».
Рисунок 20
- В диалоговом окне «Выбор сертификата» выберите сертификат веб-сайта owa.pixkiller.net и нажмите «Выбрать».
Рисунок 21
- В диалоговом окне Listener SSL Certificates вы должны увидеть, что обоим IP-адресам назначены отдельные сертификаты. Нажмите «Далее».
Рисунок 22
- На странице «Настройки аутентификации» выберите параметр «Аутентификация с помощью HTML-формы» в раскрывающемся списке «Выберите, как клиенты будут предоставлять учетные данные для ISA Server». Это позволит брандмауэру ISA создать форму входа для клиентов OWA. В списке Выберите, как ISA Server будет проверять учетные данные клиента, выберите параметр LDAP (Active Directory). Нажмите «Далее».
Рисунок 23
- На странице «Параметры единого входа» снимите флажок «Включить единый вход для веб-сайтов, опубликованных с помощью этого веб-прослушивателя». SSO не подходит для этого сценария, поскольку целевые серверы принадлежат разным доменам и между доменами нет доверия. Нажмите «Далее».
Рисунок 24
- Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».
- На странице Select Web Listener нажмите кнопку Edit, чтобы внести некоторые изменения в Web Listener.
- В диалоговом окне «Свойства» перейдите на вкладку «Формы». На вкладке Формы установите галочки в полях Разрешить пользователям изменять свои пароли и Напоминать пользователям, что их пароль истечет через это количество дней. Нажмите «Применить», а затем нажмите «ОК».
Рисунок 25
- Появится ложное диалоговое окно, указывающее, что серверы LDAP не настроены на использование LDAPS. Мы знаем, что это диалоговое окно некорректно, так как мы очень подробно рассказали о настройке серверов LDAP для использования LDAPS. Нажмите OK, чтобы закрыть ложное диалоговое окно.
- Нажмите OK в диалоговом окне свойств веб-прослушивателя.
- На странице Authentication Delegation выберите опцию Basic authentication в раскрывающемся списке Выберите метод, используемый ISA Server для аутентификации на опубликованном веб-сервере. Это лучший вариант в безопасном сценарии веб-публикации, соединяющем SSL и SSL. Нажмите «Далее».
Рисунок 26
- На странице User Sets вы можете оставить параметр по умолчанию All Authenticated Users. Нажмите «Далее».
- Нажмите «Готово» на странице «Завершение мастера нового правила публикации Exchange».
Обсудить эту статью |
Резюме
В этой статье мы продолжили нашу серию статей о том, как публиковать несколько OWA-сайтов, принадлежащих нескольким доменам, используя новую функцию аутентификации LDAP брандмауэра ISA. Мы настроили наборы серверов LDAP, соответствующие строки сервера LDAP, а затем создали веб-прослушиватель и правило веб-публикации для веб-сайта owa.msfirewall.org. В следующей и, возможно, последней части этой серии мы создадим правило веб-публикации owa.pixkiller.net, а затем протестируем конфигурацию, чтобы убедиться, что все работает должным образом. Увидимся на следующей неделе! -Том.
- Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)
- Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 2)