Sunday, October 21st, 2018

Предварительная LDAP аутентификация с помощью брандмауэра ISA 2006 (Часть 1)

Published on Февраль 10, 2009 by   ·   Комментариев нет

В этой статье рассказывается о том, как вы можете использовать возможность предварительной аутентификации LDAP в брандмауэре ISA 2006 Firewall для публикации нескольких серверов Exchange Servers, которые принадлежат к различным доменам.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Бывают случаи, когда вы можете не захотеть делать брандмауэр ISA firewall членом домена (domain member). Например, брандмауэр ISA firewall может быть front-end брандмауэром в конфигурации back to back, с back-end брандмауэром ISA firewall, или может быть менее мощным или менее безопасным брандмауэром вроде Cisco ASA или Sonicwall.

Другая ситуация, когда я предпочитаю не включать брандмауэр ISA firewall в (домен), когда вы доверяете администраторам Active Directory, но не уверены, что они хорошо понимают назначение политик групп. Если включаете брандмауэр ISA firewall в домен, а администраторы, которые контролируют политики групп не знают, как с ними работать, то могут возникнуть различные проблемы с вашим брандмауэром ISA firewall.

Вне зависимости от причин, по которым вы не хотите включать ваш брандмауэр в ISA Firewall в домен, вы можете столкнуться с рядом трудностей в том случае, если брандмауэр ISA Firewall не является членом домена. Самая большая сложность при этом с предварительной аутентификацией (pre-authentication). Предварительная аутентификация позволяет вам настроить брандмауэр ISA Firewall для того, чтобы осуществлять аутентификацию и авторизованный доступ к сетевым ресурсам до момента передачи соединений на сервер сетевых ресурсов.

Например, если вы используете брандмауэр ISA Firewall для публикации Outlook Web Access (OWA), то брандмауэр ISA Firewall можно настроить таким образом, что он будет сперва запрашивать аутентификацию у пользователей на брандмауэре ISA Firewall. После того, как пользователь успешно пройдет аутентификацию, брандмауэр ISA Firewall посылает его учетную запись и пароль на сайт OWA. Сайт OWA производит аутентификацию пользователя, информирует брандмауэр ISA Firewall об успешной попытки аутентификации, а затем брандмауэр ISA Firewall передает пользовательские соединения на сервер OWA server.

Для того, что провести аутентификацию пользователя, у брандмауэра ISA Firewall должен быть механизм для использования аутентификации. Если брандмауэр ISA Firewall является членом домена, то он может использовать интегрированную аутентификацию Windows для выполнения этой задачи. Если брандмауэр ISA Firewall не является членом домена, для аутентификации входящих соединений необходимо использовать другие методы. В случае брандмауэра ISA 2004 Firewall вы можете использовать RADIUS или SecurID.

Проблема с RADIUS заключается в том, что вы не можете использовать группы Active Directory, и вы должны создать обычные (custom) группы ISA Firewall Groups для того, чтобы с помощью этих групп контролировать доступ на брандмауэре ISA Firewall. Т.к. с одной стороны группы ISA Firewall Groups можно рассматривать как преимущество (администратору брандмауэра ISA Firewall не нужно быть администратором домена или взаимодействовать с администраторами домена для контроля доступа с помощью этих созданных групп на ISA Firewall), с другой стороны, если уже есть хорошо описанные группы пользователей, для которых установлен контроль доступа, то почему бы не использовать их? RADIUS не может использовать их, и поэтому потенциально может увеличиться нагрузка на административное управление брандмауэром ISA Firewall.

Брандмауэр ISA 2006 Firewall решил эту проблему благодаря использованию аутентификации LDAP. С помощью нового брандмауэра ISA Firewall вы можете использовать аутентификацию LDAP для проведения предварительной аутентификации пользователей на брандмауэре ISA Firewall и использования существующих групп безопасности Active Directory. В этом есть большое преимущество над RADIUS, где вы не можете использовать группы безопасности Active Directory для контроля доступа на своем брандмауэре ISA Firewalls.

Дополнительно, для того, чтобы позволить вам использовать существующие группы безопасности Active Directory, ISA 2006 LDAP аутентификация обеспечивает возможность иметь пользователей, который прошли один раз аутентификацию на ISA Firewall из нескольких доменов. Для того, чтобы осуществить предварительную аутентификацию для нескольких доменов с помощью RADIUS, вы должны установить сложную конфигурацию сервера RADIUS, которая включает в себя сервера RADIUS и прокси RADIUS. Затем вам необходим выяснить, как правильно маршрутизировать запросы от прокси RADIUS на соответствующие сервера RADIUS. Напротив, использование маршрутизации запросов на аутентификацию для аутентификации LDAP встроено в брандмауэр ISA 2006 Firewall и достаточна прозрачна.

В этой статье мы рассмотрим, как вы можете использовать возможность брандмауэра ISA 2006 Firewall по LDAP аутентификации для публикации нескольких серверов Exchange Servers, принадлежащих различным доменам. Такой сценарий может быть интересен для многих организаций после слияния, или в среде, где брандмауэр ISA Firewall находится впереди многих серверов Exchange Servers.

В этой статье для выделения новых возможностей по LDAP аутентификации, включенных в брандмауэр ISA 2006 Firewall, мы сделаем следующее:

  • Опишем тестовую сеть
  • Получим сертификаты Web site для сайтов OWA
  • Экспортируем сертификаты Web site (вместе с их закрытыми ключами) и сертификаты CA certificates в файл
  • Скопируем сертификаты Web site и сертификаты CA certificates на брандмауэр ISA Firewall и установим эти сертификаты в хранилище сертификатов (Certificate Store) на машине с брандмауэром ISA Firewall
  • Настроим записи в файле HOSTS на брандмауэре ISA Firewall
  • Настроим сервера LDAP Servers в консоли брандмауэра ISA Firewall
  • Создадим первое правило для публикации Web Publishing Rule для первого сервера OWA Server
  • Создадим второе правило для публикации Web Publishing Rule для второго сервера OWA Server
  • Проверим конфигурацию

Описание тестовой сети

На первом этапе мы опишем тестовую сеть, которую я использовал для тестирования конфигурации. Я всегда тестирую нашу новую конфигурацию в тестовой сети, перед тем как использовать ее в сети заказчика. Одна из самых грубых ошибок заключается в том, что вы можете проводить свои опыты не в тестовой сети, а в рабочей. Лучше делать ошибки в лаборатории, а не в промышленной сети.

Брандмауэр front firewall

Рисунок 1

В тестовой сети (lab network) находится четыре компьютера:

  • Клиентский компьютер с операционной системой Windows XP. Эта машина будет использоваться для тестирования соединения с сайтами OWA через брандмауэр ISA Firewall
  • Компьютер с брандмауэром ISA Firewall. Помните, что брандмауэры ISA Firewalls должны иметь два или более сетевых интерфейса NIC для более надежной защиты. Сделайте это сами. Брандмауэр ISA Firewall не является членом домена (domain member). Брандмауэр ISA Firewall имеет два IP адреса, связанных с его внешними интерфейсам (external interface), для того чтобы поддерживать публикацию двух SSL сайтов с помощью двух различных сертификатов Web site
  • Сервер Exchange Server, который также является доменом контролера Active Directory DC для домена msfirewall.org. Обратите внимание, что я не использую .local для названия домена верхнего уровня. Неправильные названия доменов верхнего уровня могут привести к появлению проблем. Пусть консультанты SBS и пользователи имеют дело с ограничениями нелегальной TLD – мы будем использовать легальные TLD для вашей промышленной сети. На этой машине также установлен корпоративный CA , поэтому мы можем запрашивать сертификат Web site с CA, с помощью помощника IIS Web site certificate request wizard.
  • Сервер Exchange Server также является контролером домена Active Directory DC для домена pixkiller.net. Как и другой сервер Exchange Server, на этой машине установлен корпоративный CA

Получение сертификатов Web site для сайтов OWA

Мы будем использовать связку SSL to SSL bridging в этом примере, т.к. мы хотим иметь от начала до конца безопасное соединение. Я знаю много людей, которые хотят сделать так называемое “SSL offloading” или связку SSL to HTTP bridging. Это не очень удачно, т.к. такие администраторы брандмауэра ISA Firewall полагают, что сеть между брандмауэром ISA Firewall и опубликованным сервером Exchange Server очень безопасна. Это фальшивое предположение в 99%+ случаях, как я убедился. Ни одной сети нельзя доверять, и связка SSL to SSL bridging обеспечивает безопасность соединения, а это именно то, что нам необходимо для безопасной инфраструктуры.

Для того, чтобы выполнить связку SSL to SSL bridging, брандмауэр ISA Firewall должен установить два SSL соединения: первое соединение между клиентом OWA и брандмауэром ISA Firewall, а второе соединение между брандмауэром ISA Firewall и OWA Web site в корпоративной сети (corporate network). Для поддержки второго SSL соединения между брандмауэром ISA Server 2004 firewall и сайтом OWA Web site, мы должны запросить сертификат Web site certificate и связать этот сертификат с сайтом OWA Web site. Позднее мы свяжем тот же самый сертификат со слушателем ISA Firewall Web Listener для того, чтобы поддержать первую связь SSL между клиентом OWA и внешним интерфейсом (external interface) брандмауэра ISA Firewall.

Мы должны запросить сертификаты Web site certificates, как для сервера msfirewall.org OWA, так и для сервера pixkiller.net OWA. Выполните следующие шаги для запроса сертификата Web site certificate для сайта msfirewall.org OWA Web Site:

  1. На машине EXCHANGE2003BE.msfirewall.org нажмите на кнопку Start и перейдите к Administrative Tools (администрирование). Выберите менеджер Internet Information Services (IIS) Manager.
  2. В левом окне консоли менеджера Internet Information Services (IIS) Manager раскройте узел Web Sites и выберите Default Web Site. Нажмите правой кнопкой мыши на Default Web Site и выберите Properties (свойства).
  3. В диалоговом окне Default Web Site Properties выберите закладку Directory Security.
  4. В закладке Directory Security нажмите на кнопкуt Server Certificate в окне Secure communications.

    Проблемы с сетефой аутентификацией

    Рисунок 2

  5. На странице Welcome to the Web Server Certificate Wizard нажмите на кнопку Next.
  6. На странице Server Certificate выберите параметр Create a new certificate (создать новый сертификат) и нажмите на кнопку Next.

    Публикация owa через cisco asa

    Рисунок 3

  7. На странице Delayed or Immediate Request выберите параметр Send the request immediately to an online certificate authority и нажмите на кнопку Next.

    Ldap

    Рисунок 4

  8. На странице Name and Security Settings примите все настройки по умолчанию и нажмите на кнопку Next.
  9. На странице Organization Information введите название вашей организации в текстовом поле Organization и название вашей структурной единицы в текстовом поле Organizational Unit. Нажмите на кнопку Next.

    Аутентификация isa2006

    Рисунок 5

  10. На странице Your Site’s Common Name задайте общее название (common name) сайта. Общее название (common name) – это название, которое внешние и внутренние пользователи будут использовать для доступ к сайту. Например, если пользователь введет https://owa.msfirewall.org в с адресной строке браузера для доступу к сайту OWA site, то вы должны сделать общим название owa.msfirewall.org. В нашем текущем примере, мы введем название owa.msfirewall.org в текстовое поле Common name. Это очень важная настройка. Если вы не введете правильное общее название (common name), то при попытке подключения к безопасному сайту OWA вы увидите ошибки. Нажмите на кнопку Next.

    Брандмауэр front firewall

    Рисунок 6

  11. На странице Geographical Information (географическая информация) введите вашу страну/регион (Country/Region), область/провинцию (State/province) и город (City/locality) в соответствующих текстовых полях. Нажмите на кнопку Next.
  12. На странице SSL Port примите значение по умолчанию равное 443, для текстового поля SSL port this web site should use. Нажмите на кнопку Next.
  13. На странице Choose a Certification Authority примите значения по умолчанию в списке Certification authorities и нажмите на кнопку Next.

    Проблемы с сетефой аутентификацией

    Рисунок 7

  14. Заново просмотрите все параметры на странице подведения итогов Certificate Request Submission и нажмите на кнопку Next.
  15. Нажмите на кнопку Finish на странице Completing the Web Server Certificate Wizard.
  16. Обратите внимание, что теперь доступа для нажатия кнопка View Certificate (просмотреть сертификат). Это означает, что сертификат Web site certificate был связан с сайтом OWA Web и может быть использовано безопасное соединение SSL к сайту Web site.

    Ldap

    Рисунок 8

  17. Нажмите на кнопку OK в диалоговом окне Default Web Site Properties.

Резюме

В этой статье я рассказал вам о концепции аутентификации ISA 2006 Firewall LDAP. Впервые появившись с брандмауэром ISA 2006 Firewall, аутентификация LDAP может быть использована в тех случаях, когда невозможно сделать брандмауэр ISA Firewall членом домена, или когда членство в домене не требуется или же, напротив, нежелательно. Аутентификация ISA 2006 Firewall LDAP позволяет брандмауэру ISA Firewall посылать запросы на аутентификацию определенным контролерам домена Active Directory в зависимости от учетной записи, под которой пользователь зашел в систему. В зависимости от созданных вам правил, запросы на аутентификацию могут быть переданы контролерам доменов в различных доменах. Аутентификация LDAP позволят вам использовать группы безопасности Active Directory таким образом, что вам не нужно создавать группы ISA Firewall Groups, если вы этого не хотите.

В следующей статье из этой серии мы продолжим создание инфраструктуры сертификатов, которые поддерживают такое решение, и, если будет время, создадим важные записи в файле HOSTS на сервере ISA Firewall. Спасибо!

www.isaserver.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]