Sunday, October 21st, 2018

Предварительная LDAP аутентификация с помощью брандмауэра ISA 2006 (Часть 4)

Published on Февраль 11, 2009 by   ·   Комментариев нет

В этой части я расскажу о создании второго правила публикации Web Publishing Rule, о том, как создать пользовательский набор LDAP user set, и, наконец, мы протестируем все наше решение, чтобы убедиться, что аутентификация LDAPS работает правильно и позволяет пользователям изменять их пароли.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Создание второго правила публикации Web Publishing Rule для второго сервера OWA Server

Если вы думаете: “О нет, неужели мы должны проделать все это еще раз?”, то у меня для вас есть хорошие новости. Мой ответ — нет. Вы не должны заново выполнять все этапы помощника Web Publishing Rule wizard, потому что мы можем скопировать существующее правило публикации Web Publishing Rule и внести лишь пару изменений в скопированное правило. Это позволяет нам сэкономить уйму времени, по сравнению с тем, когда мы создавали первое правило публикации OWA Web Publishing Rule.

Для создания второго правила публикации Web Publishing Rule для сервера pixkiller.net, выполните следующую последовательность шагов:

  1. Щелкните правой кнопкой мыши на правило публикации Web Publishing Rule для сервера MSFIREWALL OWA и нажмите Copy.

    Сложность пароля в ldap

    Рисунок 1

  2. Щелкните правой кнопкой мыши на правиле публикации MSFIREWALL OWA Web Publishing Rule снова и нажмите Paste.

    Сложность пароля ldap

    Рисунок 2

  3. Появится новое правило публикации Web Publishing Rule под названием MSFIREWALL OWA(1) в списке правил в политиках брандмауэра (Firewall policy). Щелкните правой кнопкой мыши на правиле MSFIREWALL OWA(1) и выберите из появившегося окна Properties (свойства).

    Сложность пароля в ldap

    Рисунок 3

  4. В диалоговом окне MSFIREWALL OWA(1) выберите закладку General (главная). На закладке General введите название для нового правила публикации Web Publishing Rule в текстовом поле Name (название). В нашем примере мы назовем правило PIXKILLER OWA.

    Сложность пароля ldap

    Рисунок 4

  5. Выберите закладку To (К). На закладке To введите общее/частное (common/subject) для сертификата Web site certificate, связанного с сайтом pixkller.net OWA site. В нашем примере общее название сертификата для Web site certificate, связанного с сайтом OWA — owa.pixkiller.net, поэтому мы введем это название в текстовое поле This rule applies to this published site. В тестовом поле Computer name or IP address (required if the internal site name is different or not resolvable) введите IP адрес сайта OWA.
    Как я упоминал при создании правила публикации Web Publishing Rule для сайта MSFIREWALL OWA, новый брандмауэр ISA firewall разбивает название, которое используется для передачи запросов и на название, которое используется в CONNECT для того, чтобы разрешить нам использовать IP адрес действительного FQDN опубликованного Web сайта.
    В разделе Proxy requests to published site оставьте настройку Requests appear to come from the ISA Server computer включенной. Это позволит IP адресу источника, переданному опубликованному Web серверу быть IP адресом самого брандмауэра ISA Firewall. Это позволит вам не делать опубликованный Web сервер клиентом SecureNET брандмауэра ISA Firewall, в результате будет достигнута более гибкая конфигурация.

    Сложность пароля в ldap

    Рисунок 5

  6. Выберите закладку Public Name (общее название). Выберите запись msfirewall.org и нажмите на кнопку Remove (удалить). Нажмите на кнопку Add (добавить). В текстовом поле Public Name введите общее название для сайта pixkiller.net OWA Web, которое также является общим/частным названием для сертификата Web site certificate, связанным со слушателем Web listener, получающим соединения на этот сайт. В нашем примере, это название owa.pixkiller.net, поэтому введем это название в текстовое поле. Нажмите на кнопку OK.

    Сложность пароля ldap

    Рисунок 6

  7. Нажмите на кнопку OK в диалоговом окне MSFIREWALL OWA(1).
  8. Нажмите на кнопку Apply (применить) для сохранения изменений и обновления политики брандмауэра (firewall policy). Нажмите на кнопку OK в диалоговом окне Apply New Configuration (применить новую конфигурацию).

Создание пользовательского набора LDAP User Set

В правиле публикации Web Publishing Rules, которое мы создали для серверов msfirewall.org и pixkiller.net OWA servers, мы использовали настройки для аутентификации по умолчанию, которые позволяют все пользователям, которые прошли аутентификацию, получить доступ к опубликованным Web сайтам. В промышленной среде, вы можете захотеть ограничить доступ для определенных групп вместо того, чтобы разрешить доступ для любого пользователя, у которого есть учетная запись в домене.

Например, предположим, что мы создали глобальную группу (global group) в домене pixkiller.net под названием OWA Users и включили в эту группу пользователей, для которых мы хотим разрешить удаленный доступ (remote access) к сайту pixkiller.net OWA. Мы можем легко сделать это, благодаря созданию группы LDAP group. Помните, что у LDAP есть преимущество над RADIUS, которое заключается в том, что LDAP может использовать существующие группы Active Directory, в то время как RADIUS не может этого делать.

Следующая процедура иллюстрирует, как создать группу LDAP group на брандмауэре ISA Firewall основываясь на глобальной группе OWA Users из Active Directory:

  1. В консоли брандмауэра ISA Firewall выберите узел Firewall Policy (политика брандмауэра) в левом окне консоли и дважды щелкните левой кнопкой мыши на правиле публикации PIXKILLER OWA Web Publishing Rule.
  2. В диалоговом окне PIXKILLER OWA Properties выберите закладку Users (пользователи). На закладке Users выберите пункт All Authenticated Users (все пользователи, которые прошли аутентификацию) из списка This rule applies to requests from the following user sets и нажмите на кнопку Remove (удалить).

    Сложность пароля в ldap

    Рисунок 7

  3. На закладке Users нажмите на кнопку Add (добавить).
  4. В диалоговом окне Add Users нажмите на кнопку New (новый).

    Сложность пароля ldap

    Рисунок 8

  5. В странице помощника Welcome to the New User Set Wizard введите название для пользовательского набора LDAP user set в текстовом окне User set name. В нашем примере, мы используем название PIXKILLER OWA Users . Нажмите на кнопку Next.

    Сложность пароля в ldap

    Рисунок 9

  6. На странице Users (пользователи) нажмите на кнопку Add (добавить). В выпадающем меню выберите пункт LDAP….

    Сложность пароля ldap

    Рисунок 10

  7. В диалоговом окне Add LDAP User нажмите на стрелку вниз в поле LDAP server set и выберите запись PIXKILLER. Выберите параметр Specified group or user а затем введите пользователей OWA Users (название группы, в которую входят пользователи, для которых мы хотим разрешить доступ для сайта pixkiller.net OWA site). Нажмите на кнопку OK.

    Сложность пароля в ldap

    Рисунок 11

    Появится диалоговое окно для аутентификации. Введите правильное имя пользователя и пароль. Это не обязательно должен быть администратор домена (domain admin). Нажмите на кнопку OK.

    Сложность пароля ldap

    Рисунок 12

  8. Брандмауэр ISA Firewall соединится с контроллером домена (domain controller) и после того, как будет найдена группа, диалоговое окно для входа пропадет, после чего вы увидите, что группа LDAP присутствует в списке на странице Users. Нажмите на кнопку Next на странице Users.

    Сложность пароля в ldap

    Рисунок 13

  9. Нажмите на кнопку Finish на странице Completing the New User Set Wizard.

    Сложность пароля ldap

    Рисунок 14

  10. В диалоговом окне Add Users (добавление пользователей), дважды щелкните левой кнопкой мыши на записи PIXKILLER OWA Users а затем нажмите на кнопку Close.

    Сложность пароля в ldap

    Рисунок 15

  11. На закладке Users (пользователи) вы увидите пользовательский набор LDAP user set в списке This rule applies to requests from the following user sets. Нажмите на кнопку OK.

    Сложность пароля ldap

    Рисунок 16

  12. Нажмите на кнопку Apply (применить) для сохранения изменений и обновления политик брандмауэра (firewall policy). Нажмите на кнопку OK в диалоговом окне Apply New Configuration (применить новую конфигурацию).

Проверка решения

Мы легко можем проверить наше решение, посетив сайты OWA Web с помощью внешних клиентов (external client). В этом примере, введите URL https://owa.pixkiller.net/exchange в Web браузере внешнего клиента. Вы увидите окно для входа, как на рисунке ниже. Поставьте галочку в поле I want to change my password after logging on и выберите настройку This is a private computer. Затем введите имя пользователя и пароль в соответствующие текстовые поля.

Сложность пароля в ldap

Рисунок 17

Появится окно для смены пароля. Введите старый и новые пароли в соответствующие текстовые поля и нажмите на кнопку Change Password (изменить пароль).

Сложность пароля ldap

Рисунок 18

Появится соответствующее окно, сообщающее о том, что изменение пароля прошло успешно. Вы можете подождать, пока вас автоматически не направят, или нажать на кнопку Continue (продолжить) для переходя в свой почтовый ящик.

Сложность пароля в ldap

Рисунок 19

Почтовый ящик пользователя появится в окне браузера.

Сложность пароля ldap

Рисунок 20

На рисунке ниже вы видите пример, когда учетная запись пользователя настроена так, чтобы требовать от пользователя изменить пароль после первого входа в систему (вы также увидите аналогичное окно, когда ваш пароль устареет). Все что вам нужно сделать, это ввести старый пароль, затем новые пароли и нажать на кнопку Change Password (изменить пароль).

Сложность пароля в ldap

Рисунок 21

Вы увидите диалоговое окно, подтверждающее, что изменение пароля прошло успешно.

Сложность пароля ldap

Рисунок 22

Если у вас возникли проблемы с изменением пароля, (например, появится страница, сообщающая, что ваш пароль не удовлетворяет требованиям по сложности), то попробуйте предпринять следующие шаги:

  • Перезапустите брандмауэр ISA Firewall
  • Перезапустите контроллер домена DC, на котором происходит аутентификация пользователя
  • Убедитесь, что когда вы настраивали сервер LDAP, вы ввели правильное название, которое соответствует компьютерному сертификату, который установлен на контроллере домена DC
  • Убедитесь, что вы не вводили лишних символов в текстовых полях для ввода пароля

Резюме

В этой части статьи мы исследовали новую возможность брандмауэра ISA Firewall для использования аутентификации LDAP для проведения аутентификации для Active Directory и использования групп пользователей Active Directory, без необходимости включения брандмауэра ISA Firewall в членство в домене. Это очень важный момент в сценариях публикации Web publishing, если брандмауэр ISA Firewall является front-end брандмауэром, то в этом случае не нужно проводить внешнюю аутентификацию. Я также использовал эту возможность, если брандмауэр ISA Firewall является членом одного домена для подключения правил публикации на серверах в других доменах. Я надеюсь, что вам понравилась эта статья. Спасибо!

www.isaserver.org




Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]