Monday, December 11th, 2017

Предварительная LDAP аутентификация с помощью брандмауэра ISA 2006 (Часть 2)

Published on Февраль 10, 2009 by   ·   Комментариев нет

В этой статье мы продолжим построение инфраструктуры сертификатов и их присвоение соответствующим устройствам.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Экспорт сертификата для сайта MSFIREWALL.ORG OWA Web Site в файл – использование закрытого ключа сайта

Брандмауэр ISA Firewall имитирует сайт OWA Web, когда клиент OWA устанавливает первое SSL соединение с брандмауэром ISA Firewall. Для того, чтобы брандмауэр это ISA делал, вы должны экспортировать сертификат Web-site импортировать его в хранилище сертификатов на машине брандмауэра ISA Firewall.

Очень важно, чтобы вы экспортировали закрытый ключ (private key) Web сайта, когда экспортируете сертификат в файл. Если частный ключ не включен в файл, то вы не сможете связать сертификат certificate со слушателем Web Listener на брандмауэре ISA Firewall, и правило публикации Web Publishing Rules не будет работать.

Выполните следующие шаги для того, чтобы экспортировать сертификат Web site certificate вместе с закрытым ключом (private key) в файл:

  1. В консоли Internet Information Services (IIS) Manager, раскройте узел Web Sites в левом окне консоли, а затем нажмите левой кнопкой мыши на Default Web Site. Щелкните правой кнопкой мыши на Default Web Site и выберите Properties (свойтсва) из контекстного меню.
  2. В диалоговом окне Default Web Site Properties перейдите на закладку Directory Security.
  3. На закладке Directory Security, нажмите на кнопку View Certificate (просмотреть сертификат) в разделе Secure communications.
  4. В диалоговом окне Certificate выберите закладку Details (подробно). На закладке Details нажмите на кнопку Copy to File (копировать в буфер).

    Nt lm аутентификация isa 2006

    Рисунок 1

  5. Нажмите на кнопку Next на странице Welcome to the Certificate Export Wizard.
  6. На странице the Export Private Key (экспортировать закрытый ключ), выберите параметр Yes, export the private key (да, экспортировать закрытый ключ) и нажмите на кнопку Next.

    Nt lm аутентификация isa 2006

    Рисунок 2

  7. На странице Export File Format (формат файла для экспорта) выберите настройку Personal Information Exchange – PKCS #12 (.PFX). Поставьте галочку в поле Include all certificates in the certification path if possible и удалите галочку из поля Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above). Нажмите на кнопку Next.

    Фаирвол c ldap

    Рисунок 3

  8. На странице Password задайте пароль (Password), а затем повторите его ввод в поле Confirm Password (подтвердить пароль). Нажмите на кнопку Next.
  9. На странице File to Export введите c:\OWAsiteCert в текстовом поле File name (имя файла). Нажмите на кнопку Next.
  10. Нажмите на кнопку Finish на странице Completing the Certificate Export Wizard.
  11. Нажмите на кнопку OK в диалоговом окне Certificate.
  12. Нажмите на кнопку OK в диалоговом окне Default Web Site Properties.
  13. Скопируйте файл OWAsiteCert.pfx в корневую директорию диска C:\ на компьютере с брандмауэром ISA Firewall.

Теперь мы должны подготовить процедуры на сервере Exchange Server в домене pixkiller.net:

  1. На компьютере dc.pixkiller.net нажмите на Start и перейдите к Administrative Tools (администрирование). Запустите менеджер Internet Information Services (IIS) Manager.
  2. В левом окне консоли менеджера Internet Information Services (IIS) Manager раскройте узел Web Sites и выберите Default Web Site. Щелкните правой кнопкой мыши на Default Web Site и выберите Properties.
  3. В диалоговом окне Default Web Site Properties выберите закладку Directory Security.
  4. На закладке Directory Security нажмите на кнопку Server Certificate (сертификат сервера) в разделе Secure communications.

    Просотреть сертификаты на ldap

    Рисунок 4

  5. На странице Welcome to the Web Server Certificate Wizard нажмите на кнопку Next.
  6. На странице Server Certificate выберите параметр Create a new certificate (создать новый сертификат) и нажмите на кнопку Next.

    Просотреть сертификаты на ldap

    Рисунок 5

  7. На странице Delayed or Immediate Request выберите параметр Send the request immediately to an online certificate authority и нажмите на кнопку Next.

    Nt lm аутентификация isa 2006

    Рисунок 6

  8. На странице Name and Security Settings оставьте все настройки по умолчанию и нажмите на кнопку Next.
  9. На странице Organization Information (информация об организации) введите название вашей организации в текстовом поле Organization и название вашей организационной единицы (Organizational Unit) в текстовом поле Organizational Unit. Нажмите на кнопку Next.

    Nt lm аутентификация isa 2006

    Рисунок 7

  10. На странице Your Site’s Common Name введите общее название (common name) сайта. Общее название (common name) – это название, которое будут использовать внешние и внутренние пользователи для доступа к сайту. Например, если пользователь вводит https://owa.pixkiller.net в адресной строке браузера для доступа к сайту OWA, то вы должны сделать общим названием (common name) owa.msfirewall.org. В нашем конкретном примере мы введем owa.pixkiller.net в текстовое поле Common name. Это очень важная настройка. Если вы введете неправильное общее название (common name), то при попытке доступа к безопасному OWA сайту. Нажмите на кнопку Next.

    Фаирвол c ldap

    Рисунок 8

  11. На странице Geographical Information (информация о географии) введите название вашей страны/региона (Country/Region, State/province) и города (City/locality) в соответствующих текстовых окнах. Нажмите на кнопку Next.
  12. На странице SSL Port примите значение по умолчанию, равное 443, в текстовом поле SSL port this web site should use. Нажмите на кнопку Next.
  13. На странице Choose a Certification Authority примите значение по умолчанию в списке Certification authorities и нажмите на кнопку Next.

    Просотреть сертификаты на ldap

    Рисунок 9

  14. Еще раз просмотрите все настройки на странице Certificate Request Submission и нажмите на кнопку Next.
  15. Нажмите на кнопку Finish на странице Completing the Web Server Certificate Wizard.
  16. Обратите внимание, что теперь стала доступной кнопка View Certificate (просмотреть сертификат). Это говорит о том, что сертификат Web site certificate был привязан к сайту OWA Web site и может быть использован для осуществления безопасных SSL соединений к Web site.

    Просотреть сертификаты на ldap

    Рисунок 10

Нажмите на кнопку OK в диалоговом окне Default Web Site Properties.

Экспорт сертификата для сайта PIXKILLER.NET OWA Web Site в файл – включение закрытого ключа сайта

Брандмауэр ISA Firewall имитирует сайт OWA Web, когда клиент OWA устанавливает первое SSL соединение с брандмауэром ISA Firewall. Для того, чтобы брандмауэр это ISA делал, вы должны экспортировать сертификат Web-site импортировать его в хранилище сертификатов на машине брандмауэра ISA Firewall.

Очень важно, чтобы вы экспортировали закрытый ключ (private key) Web сайта, когда экспортируете сертификат в файл. Если частный ключ не включен в файл, то вы не сможете связать сертификат certificate со слушателем Web Listener на брандмауэре ISA Firewall, и правило публикации Web Publishing Rules не будет работать.

Выполните следующую последовательность шагов для того, чтобы экспортировать сертификат Web site certificate вместе с его закрытым ключом в файл:

  1. В консоли менеджера Internet Information Services (IIS) Manager раскройте узел Web Sites в левом окне консоли и нажмите на кнопку Default Web Site. Нажмите правой кнопкой мыши на Default Web Site и выберите Properties из выпадающего меню.
  2. В диалоговом окне Default Web Site Properties выберите закладку Directory Security.
  3. В закладке Directory Security нажмите на кнопку View Certificate (просмотреть сертификат) в разделе Secure communications (безопасные соединения).
  4. В диалоговом окне Certificate выберите закладку Details (подробно). В закладке Details нажмите на кнопку Copy to File (копировать в файл).

    Nt lm аутентификация isa 2006

    Рисунок 11

  5. Нажмите на кнопку Next на странице Welcome to the Certificate Export Wizard.
  6. На странице Export Private Key (экспортировать закрытый ключ) выберите параметр Yes, export the private key (да, экспортировать закрытый ключ) и нажмите на кнопку Next.

    Nt lm аутентификация isa 2006

    Рисунок 12

  7. На странице Export File Format выберите параметр Personal Information Exchange – PKCS #12 (.PFX). Поставьте галочку в поле Include all certificates in the certification path if possible и уберите галочку из поля Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above). Нажмите на кнопку Next.

    Фаирвол c ldap

    Рисунок 13

  8. На странице Password введите Password (пароль), а затем повторите его ввод в поле Confirm Password (подтверждение пароля). Нажмите на кнопку Next.
  9. На странице File to Export (экспортировать в файл) введите c:\OWAcertPIXkiller в текстовом поле File name (название файла). Нажмите на кнопку Next.
  10. Нажмите на кнопку Finish на странице Completing the Certificate Export Wizard.
  11. Нажмите на кнопку OK в диалоговом окне Certificate.
  12. Нажмите на кнопку OK в диалоговом окне Default Web Site Properties.
  13. Скопируйте файл OWAcertPIXkiller.pfx в корневую директорию на диске C:\ на компьютере с брандмауэром ISA Firewall.

Копирование сертификата сайта Web site Certificates и сертификатов CA на брандмауэр ISA Firewall и установка этих сертификатов в хранилище сертификатов (Certificate Store) на машине с брандмауэром ISA Firewall

Сертификаты Web site certificates необходимо импортировать в машинное хранилище сертификатов (machine certificate store) на брандмауэре ISA Firewall перед тем, как они будут связаны со слушателем Web Listener. Только после того, как сертификаты Web site certificates (вместе с их закрытыми ключами) будут импортированы в хранилище сертификатов (machine certificate stor), их можно использовать для связывания.

Выполните следующую последовательность шагов для импорта сертификата для сайта msfirewall.org OWA Web site в хранилище сертификатов на сервере ISA Server (вы повторите процедуру с сертификатом для сайт pixkiller.net после импорта сертификата для сайта msfirewall.org):

  1. На компьютере с брандмауэром ISA Firewall нажмите на кнопку Start и выберите команду Run. Наберите mmc в текстовом поле Open и нажмите на кнопку OK. В консоли Console 1 выберите пункт меню File и нажмите на команду Add/Remove Snap-in.
  2. Нажмите на кнопку Add в диалоговом окне Add/Remove Snap-in.
  3. Нажмите на пункт Certificates (сертификаты) в списке Available Standalone Snap-in в диалоговом окне Add Standalone Snap-in. Нажмите на кнопку Add.
  4. Выберите параметр Computer account на странице Certificates snap-in. Нажмите на кнопку Next.
  5. На странице Select Computer выберите параметр Local computer: (the computer this console is running on) и нажмите на кнопку Finish.
  6. Нажмите на кнопку Close (закрыть) на странице Add Standalone Snap-in.
  7. Нажмите на кнопку OK в диалоговом окне Add/Remove Snap-in.
  8. Нажмите правой кнопкой мыши на узле Personal в левом окне консоли, перейдите к All Tasks (все задачи) и нажмите на кнопку Import.
  9. Нажмите на кнопку Next в окне мастера Welcome to the Certificate Import Wizard.
  10. Нажмите на кнопку Browse (обзор) и перейдите к файлу сертификата C:\OWAsiteCert.pfx. Нажмите на кнопку Next после того, как полное название файла появится в текстовом окне Filename (имя файла).

    Просотреть сертификаты на ldap

    Рисунок 14

  11. На странице Password введите пароль для файла. Не ставьте галочку в поле под названием Mark this key as exportable. This will allow you to back up or transport you keys at a late time. Вы не должны использовать этот параметр, т.к. эта машина является бастионом, с интерфейсом на периметре сети или интернет Internet и ее могут взломать. Злоумышленник тогда будет в состоянии украсть закрытый ключ (private key), если он будет помечен, как экспортируемый. Нажмите на кнопку Next.
  12. На странице Certificate Store (хранилище сертификатов) выберите настройку Place all certificate in the follow store и Personal в окне Certificate store (хранилище сертификатов). Нажмите на кнопку Next.
  13. Просмотрите настройки на странице Completing the Certificate Import и нажмите на кнопку Finish.
  14. Нажмите на кнопку OK в диалоговом окне мастера импорта сертификатов Certificate Import Wizard, которое говорит вам, что все прошло успешно.
  15. Вы увидите сертификат Web site certificate и сертификат CA в правом окне консоли. Сертификат для сайта Web site certificate имеет FQDN, присвоенный сайту. Это название, которое будут использовать внешние пользователя для доступа к сайту OWA site. Сертификат CA необходимо поместить в хранилище Trusted Root Certification Authorities\Certificates, чтобы таким образом эта машина смогла доверять установленному на ней сертификату Web site certificate. Дважды щелкните на сертификат Web site certificate в правом окне консоли.
  16. Раскройте узел Trusted Root Certification Authorities в левом окне консоли и выберите узел Certificates (сертификаты). Вы должны скопировать корпоративный сертификат CA на узел Trusted Root Certification Authorities\Certificates. Это можно сделать нажав правой кнопкой мыши на сертификат CA, а затем выбрав команду Cut. После этого вы должны выбрать узел \Trusted Root Certification Authorities\Certificates и нажать на кнопку Paste в панели mmc.

    Просотреть сертификаты на ldap

    Рисунок 15

  17. Повторите процедуру для импорта сертификата для сайта pixkiller.net Web site certificate в хранилище сертификатов (machine certificate store) на машине с брандмауэром ISA Firewall. Нам необходимо импортировать оба сертификата, как для сайта msfirewall.org, так и для сайта pixkiller.net, перед тем как мы сможем продолжить. Убедитесь, что вы вставили сертификат CA certificate для сайта pixkiller.net в узел Trusted Root Certification Authorities\Certificates. Это будет очень важно позднее, когда мы настроим аутентификацию LDAPS authentication между брандмауэром ISA Firewall и DC.

Настройка записей в файле HOSTS File на машине с брандмауэром ISA Firewall

Брандмауэру ISA Firewall необходимо распознавать названия серверов Exchange Servers для того, чтобы осуществлять аутентификацию LDAPS authentication. Как вы позднее увидите, когда мы настроим сервера LDAP Servers в консоли брандмауэра ISA Firewall, нам необходимо, чтобы брандмауэр ISA Firewall смог использовать аутентификацию при помощи сертификатов (certificate authentication) при общении с контроллерами домена DC с помощью LDAPS. Брандмауэр ISA Firewall должен уметь соотносить FQDN контроллеров домена DC с их реальным IP адресом.

Существует несколько способов, которыми вы можете это сделать, например, настройка внутреннего интерфейса брандмауэра ISA Firewall для использования сервера DNS, которым может соотносить названия для обоих доменов. Однако, если вы не хотите этого делать, вы можете использовать более простое решение и создать несколько записей в файле HOSTS на машине с брандмауэром ISA Firewall для сопоставления имен IP адресам.

Примечание: В прошлом нам необходимо было создавать записи в файле HOSTS для общих/частных (common/subject) название в сертификатах, чтобы они смогли сопоставить реальный IP адрес сайта OWA Web во внутренней сети (internal network). Брандмауэр ISA 2006 Firewall был улучшен, и теперь они убрали связь названия, которое использовалась в CONNECT. Поэтому, вам больше не нужно создавать записи в файле HOSTS для общих/частных (common/subject) названий для сертификатов сайтов OWA Web site certificates.

Файл HOSTS расположен по адресу \Windows\System32\drivers\etc. Откройте файл HOSTS и поместите в него записи для серверов Exchange Servers. В нашем примере, мы введем следующие записи в файл HOSTS:

Exchange2003be.msfirewall.org 10.0.0.2
dc.pixkiller.net 10.0.0.3

Вы можете увидеть эти записи на рисунке ниже.

Nt lm аутентификация isa 2006

Рисунок 16

Вы можете проверить эффективность записей в вашем файле HOSTS, выполнив команду ping для всех имен с машины с брандмауэром ISA firewall из командной строки (command prompt), что можно увидеть на рисунке ниже.

Nt lm аутентификация isa 2006

Рисунок 17

Резюме

В этой статье мы продолжили нашу серию, посвященную настройки аутентификации LDAP на брандмауэре ISA Firewall. Мы установили сертификаты и настроили файл HOSTS на брандмауэре ISA Firewall, чтобы названия соответствовали соглашению по наименованию сертификатов. В следующей статье мы настроим параметры сервера LDAP на брандмауэре ISA Firewall. До новых встреч!

www.isaserver.org



Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]