Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 4)

• Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)
• Предварительная аутентификация LDAP с брандмауэрами ISA 2006: Использование LDAP для предварительной аутентификации доступа к OWA (Часть 2)

Создайте второе правило веб-публикации для второго сервера OWA.

Если вы думаете: «О нет, неужели нам придется делать все это снова!» У меня есть для вас хорошие новости. Ответ - нет. Вам не нужно заново проходить весь мастер создания правила веб-публикации, потому что мы можем скопировать и вставить существующее правило веб-публикации и внести в скопированное правило лишь пару изменений. Это позволяет нам воспользоваться тяжелой работой, которую мы уже проделали при создании первого правила веб-публикации OWA.

Выполните следующие шаги, чтобы создать правило веб-публикации pixkiller.net:

1. Щелкните правой кнопкой мыши правило веб-публикации MSFIREWALL OWA и выберите «Копировать».

фигура 1

2. Еще раз щелкните правой кнопкой мыши правило веб-публикации MSFIREWALL OWA и выберите Вставить.

фигура 2

3. Новое правило веб-публикации с именем MSFIREWALL OWA(1) появится в списке правил политики брандмауэра. Щелкните правой кнопкой мыши правило MSFIREWALL OWA(1) и выберите Свойства.

Рисунок 3

4. В диалоговом окне MSFIREWALL OWA(1) щелкните вкладку Общие. На вкладке «Общие» введите новое имя правила веб-публикации в текстовом поле «Имя». В этом примере мы называем правило PIXKILLER OWA.

Рисунок 4

5. Щелкните вкладку Кому. На вкладке Кому введите общее/субъектное имя сертификата веб-сайта, связанного с OWA-сайтом pixkller.net. В этом примере общее/субъектное имя сертификата веб-сайта, привязанного к OWA-сайту pixkiller, — owa.pixkiller.net, поэтому мы вводим это имя в текстовое поле Это правило применяется к этому опубликованному сайту. В текстовом поле Имя компьютера или IP-адрес (требуется, если внутреннее имя сайта отличается или не разрешается) введите IP-адрес сайта OWA.

   Как я упоминал, когда мы создавали правило веб-публикации для сайта MSFIREWALL OWA, новый брандмауэр ISA выделяет имя, используемое для разрешения переадресованного запроса, и имя, используемое в CONNECT, позволяя нам использовать IP-адрес или фактическое полное доменное имя опубликованный веб-сайт.

   Во фрейме Прокси-запросы к опубликованному сайту оставьте включенным параметр Запросы исходят с компьютера ISA Server. Это позволяет исходному IP-адресу, полученному опубликованным веб-сервером, быть IP-адресом самого брандмауэра ISA. Это позволяет вам не делать опубликованный веб-сервер клиентом SecureNET брандмауэра ISA Firewall, что дает вам немного больше гибкости.
   
   
   
   

Рисунок 5

6. Перейдите на вкладку Публичное имя. Щелкните запись msfirewall.org и нажмите кнопку «Удалить». Нажмите кнопку «Добавить». В текстовом поле Общедоступное имя введите общедоступное имя веб-сайта OWA pixkiller.net, которое также является общим/субъектным именем для сертификата веб-сайта, привязанного к веб-прослушивателю, получающему соединения для этого сайта. В этом примере это имя owa.pixkiller.net, поэтому мы вводим это имя в текстовое поле. Нажмите ОК.

Рисунок 6

7. Нажмите OK в диалоговом окне MSFIREWALL OWA(1).
8. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Создайте набор пользователей LDAP

В правилах веб-публикации, которые мы создали для OWA-серверов msfirewall.org и pixkiller.net, мы использовали настройку по умолчанию для параметра аутентификации, которая должна была разрешить всем аутентифицированным пользователям доступ к опубликованным веб-сайтам. В производственной среде вы можете захотеть ограничить доступ к выбранным группам, вместо того чтобы разрешать беспрепятственный доступ любому пользователю, имеющему учетную запись в рассматриваемом домене.

Например, предположим, что мы создали глобальную группу в домене pixkiller.net с именем OWA Users и заполнили эту группу пользователями, которым мы хотим разрешить удаленный доступ к OWA-сайту pixkiller.net. Мы можем легко сделать это, создав группу LDAP. Помните, что LDAP имеет преимущество перед RADIUS в том, что LDAP может использовать существующие группы Active Directory, а RADIUS — нет.

Следующая процедура иллюстрирует, как создать группу LDAP на брандмауэре ISA на основе глобальной группы OWA Users Active Directory:

1. В консоли брандмауэра ISA щелкните узел «Политика брандмауэра» на левой панели консоли и дважды щелкните правило веб-публикации PIXKILLER OWA.
2. В диалоговом окне «Свойства OWA PIXKILLER» щелкните вкладку «Пользователи». На вкладке «Пользователи» щелкните запись «Все прошедшие проверку» в списке « Это правило применяется к запросам из следующих наборов пользователей», а затем нажмите кнопку «Удалить».

Рисунок 7

3. На вкладке «Пользователи» нажмите кнопку «Добавить».
4. В диалоговом окне «Добавить пользователей» нажмите команду «Создать».

Рисунок 8

5. На странице Добро пожаловать на страницу мастера создания нового набора пользователей введите имя набора пользователей LDAP в текстовом поле Имя набора пользователей. В этом примере мы будем использовать имя «Пользователи PIXKILLER OWA» и нажмем «Далее».

Рисунок 9

6. На странице Пользователи нажмите кнопку Добавить. В раскрывающемся меню щелкните запись LDAP….

Рисунок 10

7. В диалоговом окне «Добавить пользователя LDAP» щелкните стрелку вниз на наборе серверов LDAP и выберите запись PIXKILLER. Выберите параметр «Указанная группа или пользователь», а затем введите «Пользователи OWA» (имя группы, в которую входят пользователи, которым мы хотим разрешить доступ к OWA-сайту pixkiller.net). Нажмите ОК.

Рисунок 11

8. Появится диалоговое окно аутентификации. Введите действительное имя пользователя и пароль. Для этого использования не обязательно быть администратором домена. Нажмите ОК.

Рисунок 12

9. ISA Firewall свяжется с контроллером домена, и после обнаружения группы диалоговое окно входа в систему исчезнет, а затем вы увидите группу серверов LDAP, указанную на странице Users. Нажмите «Далее» на странице «Пользователи».

Рисунок 13

10. Нажмите «Готово» на странице «Завершение работы мастера создания нового набора пользователей».

Рисунок 14

11. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Пользователи PIXKILLER OWA» и нажмите «Закрыть».

Рисунок 15

12. На вкладке «Пользователи» вы увидите набор пользователей LDAP в списке «Это правило применяется к запросам из следующего списка наборов пользователей». Нажмите ОК.

Рисунок 16

13. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Тестирование решения

Мы можем легко протестировать решение, посетив веб-сайты OWA с внешнего клиента. В этом примере введите URL-адрес https://owa.pixkiller.net/exchange в веб-браузере внешнего клиента. Вы увидите страницу входа в систему, как показано ниже. Поставьте галочку в поле Я хочу сменить пароль после входа в систему и выберите вариант Это частный компьютер. Затем введите имя пользователя и пароль в соответствующие текстовые поля.

Рисунок 17

Появится веб-страница смены пароля. Введите старый и новый пароли в соответствующее диалоговое окно и нажмите «Изменить пароль».

Рисунок 18

Появится веб-страница подтверждения, указывающая, что пароль был успешно изменен. Вы можете подождать, пока он будет автоматически перенаправлен, или вы можете нажать кнопку «Продолжить», чтобы перейти к их почтовому ящику.

Рисунок 19

Почтовый ящик пользователя появится в окне браузера.

Рисунок 20

На рисунке ниже вы видите пример, когда учетная запись пользователя настроена на требование смены пароля пользователем при следующем входе в систему (вы также увидите то же диалоговое окно, когда срок действия пароля пользователя истек). Все, что вам нужно сделать, это ввести старый пароль, а затем новые пароли и нажать кнопку «Изменить пароль».

Рисунок 21

Вы увидите диалоговое окно, указывающее, что пароль был успешно изменен.

Рисунок 22

Если у вас есть проблемы с изменением пароля (например, веб-страница, указывающая, что пароль не соответствует требованиям сложности), рассмотрите следующие варианты:

• Перезапустите устройство ISA Firewall.
• Перезапустите контроллер домена, который аутентифицирует пользователя.
• Убедитесь, что при настройке сервера LDAP имя, которое вы используете для связи с сервером LDAP, совпадает с именем в сертификате компьютера, установленном на контроллере домена.
• Отсутствие опечаток в полях подтверждения старого и нового пароля.

Резюме

В этой серии из четырех частей мы исследовали способность нового брандмауэра ISA использовать аутентификацию LDAP для обеспечения аутентификации Active Directory и использования групп пользователей Active Directory без необходимости делать брандмауэр ISA членом домена. Это приемлемый вариант в сценариях веб-публикации, когда брандмауэр ISA Firewall является интерфейсным брандмауэром, когда брандмауэру ISA Firewall не требуется выполнять исходящую аутентификацию. Я также использовал эту функцию, когда брандмауэр ISA Firewall является членом домена одного домена, чтобы разрешить веб-публикацию серверов в других доменах. Надеюсь, вам понравилась эта серия, и если у вас есть вопросы, обязательно задавайте их на форумах! Спасибо! -Том.

• Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 1)
• Предварительная аутентификация LDAP с брандмауэрами ISA 2006: использование LDAP для предварительной аутентификации доступа к OWA (часть 2)