В первой части этой статьи мы настроили Службу Идентификации Интернета на нашем сервере RADIUS, чтобы обрабатывать идентификацию RADIUS у ISA Server 2004 для доступа к Web-сайтам. В этой, второй, части мы рассмотрим ISA Server 2004, и как он может использовать идентификацию RADIUS для его настроек работы в WEB и службы Proxy.
Если вы хотите прочитать первую часть статьи, щелкните здесь.
Использование RADIUS в роли идентификации для доступа к Web немного необычно по сравнению с его традиционным использованием для идентификации удаленного доступа и VPN, но потенциально очень полезно. Идентификация RADIUS для доступа к Web предусмотрено одним из трёх фильтров идентификации Web, предоставляемых вместе с ISA Server 2004. Эти фильтры (два других называются Forms Based и SecurID) активируют возможность сервера ISA опознавать Web-трафик перед тем как пропустить его к открытым Web-серверам и могут быть использованы как еще один уровень безопасности.
Идентификация RADIUS может быть использована всякий раз, когда вы используете Основную идентификацию для доступа в Интернет. Идентификация RADIUS вместо Основной идентификации для доступа в Интернет не обязательно улучшает защиту, это делают методы Forms Based и SecureID, но она доступна в тех случаях, когда клиенты не поддерживают эти методы.
Идентификация RADIUS может быть использована для идентификации входящих запросов, обрабатываемых правилами публикации WEB, а также исходящих запросов, обрабатываемых клиентами Прокси-сервера Сети. RADIUS предлагает решение, при котором Windows-идентификация пользователей домена невозможна, потому что Ваш сервер ISA не является членом домена. Тем не менее, его использование не запрещено серверам, не являющимся членами домена.
В первой части этой статьи мы настроили наш сервер RADIUS для обработки запросов, которые будут поступать от нашего сервера ISA. В этом разделе мы настроим сервер ISA для использования сервера RADIUS, проиллюстрируем правило публикации WEB, которое использует авторизацию RADIUS, а также настроим службу прокси для использования идентификации RADIUS. Ещё мы исследуем ‘наборы пользователей’, которые определяют пользователей в ‘пространстве имен’ RADIUS для дальнейшей подстройки.
ISA Server 2004 должен знать, куда отправлять запросы идентификации RADIUS. Список серверов RADIUS определен заранее, и сервер ISA использует первый сервер в списке при отправке запросов; если не получилось, то второй, и так далее. Если вы настроили более одного сервера RADIUS, Вы можете перечислить их в порядке приоритета для обеспечения отказоустойчивости.
В ISA Server 2004 мы перечисляем серверы RADIUS в панели управления сервера ISA, в то время как ранее мы могли использовать панель Службы маршрутизации и удаленного доступа (RRAS): RRAS все еще работает, но теперь ISA Server 2004 выполняет большую часть его функций. Также, когда мы определяем серверы RADIUS для ISA Server 2004, то делаем это для всех правил публикации WEB в ISA серверах, VPN-соединений и так далее; Вы не можете выбрать, какой из серверов RADIUS будет использоваться для этого.
Откройте панель управления ISA Server и откройте Configuration, General слева. Здесь вы найдёте опцию Define RADIUS Servers; щелкните по ней, и когда откроется диалоговое окно RADIUS Servers, нажмите Add.
В диалоговом окне Add RADIUS Server введите IP-адрес Вашего сервера RADIUS, подходящее описание и shared secret, который вы настроили на Вашем сервере RADIUS для этого сервера ISA (клиента RADIUS). Значения по умолчанию — UDP порт 1812 и время ожидания 5 секунд можно оставить без изменений, но так как наш сервер RADIUS был настроен для ожидания ‘сообщения распознавания’, то убедитесь что Always use message authenticator включено. Затем нажмите OK.
В уже знакомом нам диалоговом окне RADIUS Servers мы можем видеть сервер, который только что определили, а также добавлять другие серверы, упорядочивать их, и так далее. В большинстве случаев Вам понадобится настроить не менее двух серверов и перечислить их здесь; это позволит серверу ISA попытаться использовать второй в списке сервер RADIUS, если не будет получен ответ от первого. Нажмите OK чтобы вернуться в панель управления и нажмите Apply, чтобы принять изменения.
По умолчанию системная политика ISA Server 2004 заставляет ISA Server соединяться с доверенными серверами RADIUS через ‘внутреннюю’ сеть. Возможно, Вы захотите подтвердить это: щелкните правой кнопкой на Firewall Policy в левой части экрана панели управления ISA Server и выберите Edit System Policy. В открывшемся окне System Policy Editor Вы увидите RADIUS среди списков Configuration Groups: щелкните по нему и убедитесь, что переключатель Enable включен.
Закладка To определяет серверы, к которым применяется правило. По умолчанию – это все серверы ‘внутренней’ сети, но можно список из предпочитаемых Вами серверов.
Настройка правил публикации Web для идентификации RADIUS
Методы идентификации ISA Server 2004 относятся к ‘приемникам’ и правила публикации Web настроены на использование особого приемника. Правило публикации может разделять приемник с другими правилами, а может использовать только в своих целях.
Приемники настроены на ‘прослушивание’ конкретного IP-адреса или группы адресов, а также любых не-SSL портов (обычно порт 80 TCP) или SSL-порта (443 по умолчанию), или обоих этих портов. Два разных приемника не могут прослушивать одно и то же.
Для большинства методов идентификации (таких как Basic и Integrated) Вы можете настроить на приемнике столько методов идентификации, сколько Вам нужно, и он, используя приемлемый метод, соединится с клиентом. Тем не менее, это не подойдёт для методов, использующих фильтр идентификации WEB, например идентификацию RADIUS: приемник может быть настроен на использование одного из этих методов, исключая все остальные. Это означает, что если Вы хотите использовать Forms Based и методы идентификации RADIUS на внешнем интерфейсе сервера ISA, этому интерфейсу понадобятся два IP-адреса для двух приемников. Если хитрые трюки, чтобы это обойти, но они выходят за рамки этой статьи.
Узнав все описанное выше, мы начнем с создания нового правила публикации Web с новым приемником, настроенным для идентификации RADIUS. После этого, для тех, кто уже создавал правила и приемники, в конце секции мы продолжим тему и покажем, как можно настроить существующие правила и приемники для идентификации RADIUS.
Создание нового Безопасного Правила ПубликацийWEB
Начнем с открытия панели управления сервера ISA, щелкнем правой кнопкой на узле Firewall Policy и выберем New, а затем Secure Web Server Publishing Rule. Безопасное правило публикаций является основным, поскольку мы работаем с передачей открытых паролей через общую сеть.
Откроется New SSL Web Publishing Rule Wizard, где Вы можете дать этому правилу имя.
Щелкните Next, это приведет к открытию странички Publishing Mode. Так как статья не о создании правила публикации WEB, то мы быстро пропустим ее и перейдем к следующему разделу:
На этом этапе у Вас есть выбор: Вы можете создать новый приемник, который надо будет редактировать (New Web Listener Definition Wizard не позволяет конфигурировать методы идентификации), или Вы можете выбрать существующий WEB-приемник из выпадающего списка и редактировать его. Вы выберем первое; если Вы редактируете существующий, пропустите следующие шаги и продолжайте с раздела о редактировании. Нажмите New.
СозданиеновогоWEB-приемника
Откроется New Web Listener Definition Wizard. Дайте приемнику имя и щелкните Next. На последующей за этим страницей IP Addresses выберите External и нажмите Address.
Если IP-адресов на внешнем интерфейсе несколько, то обычно выбирают один подходящий адрес для приемника. Щелкните OK для возврата к мастеру, а затем Next.
На странице Port Specification Вы можете отменить Enable HTTP, потому что мы выделяем этот приемник только для идентификации RADIUS и не будем использовать его для соединений не-SSL. Проверьте Enable SSL и с помощью кнопки Select выберите сертификат, который соответствует общедоступному имени сайта, который вы публикуете. Щелкните Next, а затем Finish для завершения работы мастера.
Если приемник предназначен для нескольких правил публикации, то Вам нужно воспользоваться сертификатом подстановки, чтобы охватить несколько сайтов. Тем не менее, будьте осторожны при работе с такими сертификатами, так как не все клиенты поддерживают их: хорошим примером такого клиента является Windows Mobile 2003, установленный на многих КПК, и являющийся превосходным кандидатом для публикации Exchange ActiveSync вместе с идентификацией RADIUS.
РедактированиеWeb-приемника для идентификацииRADIUS
Создав новый приемник с помощью New Web Listener Definition Wizard, или выбрав существующий, щелкните Edit.
В окне свойств приемника выберите закладку Preferences и щелкните Authentication. Заметьте, что если Вы редактируете существующий приемник и не настраивали его для SSL, то именно здесь надо произвести эти действия. Вам также следует на странице Networks выбрать, с каким сетевым интерфейсом и IP-адресом работает приемник.
В диалоговом окне Authentication удалите все галочки, расположенные под Method (по умолчанию выбрано ‘Integrated’), а затем выберите только RADIUS. Отключите Require all users to authenticate, если включено. Щелкните Select Domain и введите имя Вашего домена по умолчанию (которое используется, если клиент не определил имя). Этот шаг может быть пропущен, если сервер ISA является членом домена по умолчанию (или единственного домена!). Щелкните OK, и еще раз OK на окне свойств, чтобы завершить настройку приемника.
Опция Require all users to authenticate может быть включена, чтобы приемник проверял все соединения, идущие через него. Так как приемник должен быть отнесён к идентификации RADIUS, это может оказаться полезным. Тем не менее в этом случае мы запустим идентификацию в настройках правил публикации WEB, используя этот приемник, и это делает указанную опцию бесполезной.
Кнопка RADIUS Servers позволяет Вам выбрать серверы RADIUS, как мы уже делали ранее в этой статье. Процесс идентичен тому, что мы проделали ранее, и любые изменения здесь затронут все приемники, конфигурации VPN и так далее. Может показаться, что появление этой опции в диалоговом окне предлагает настроить определенные серверы RADIUS для определенных приемников, и это, возможно, было намерением разработчиков, Microsoft!
ОкончаниеработыNew Secure Web Server Publishing Rule Wizard
Настроив приемники вернувшись к New SSL Web Publishing Rule Wizard, щелкните Next на странице Select Web Listener и перейдем к следующей странице User Sets. Эта страница позволяет нам выполнять идентификацию на сервере ISA для этого правила публикации, но сперва удалите запись All Users, которая обычно сообщает ‘не прерывать идентификацию любых клиентских соединений’. Нажмите Add.
В окне Add Users выберите All Authenticated Users, щелкните Add, а затем Close.
‘All Authenticated Users’ в точности означает любого пользователя, который был авторизован любым из методов, настроенных в приемнике. Позднее мы рассмотрим, как немного сузить эту область.
Вы вернетесь на страницу User Sets, поэтому щелкните Next, а затем Finish. Как обычно в ISA Server 2004, Ваша новая конфигурация начнет работать только после нажатия кнопки Apply, которая появится на панели управления. Тем не менее, нет большого смысла делать это сейчас, поскольку мы пропустили еще один шаг настройки – редактирование нашего нового правила публикации WEB. К сожалению, мастера могут не всё; продолжайте читать!
Редактирование существующего правила публикацииWEB и приемника
Если вы дошли досюда, создав новое правило, как описано выше, или если Вы уже создали правило и теперь желаете его отредактировать, щелкните правой кнопкой мыши на этом правиле и выберите Properties в меню.
Когда откроется окно свойств, щелкните на закладке Users. Включите флажок Forward Basic authentication credentials (Basic delegation). Скорее все, Ваш WEB-сайт тоже требует авторизации, и Вы захотите, чтобы Ваш сервер ISA сыграл роль клиентов с логинами и паролями, переданными ему. Без этого клиенты будут получать более одного запроса на вход и, скорее всего, ошибку 401, когда комбинация запросов на авторизацию из разных источников нарушит выполнение всего процесса!
Если Вы завершаете создание нового правила публикации WEB, значит, Вы уже завершили предварительную подготовку, и осталось щелкнуть OK, а затем Apply на панели управления.
Если Вы редактируете существующее правило, придется сделать еще несколько шагов. Первый состоит в том, чтобы убедиться в том, что All Authenticated Users, а не All Users, стоит под This rule applies to… с помощью кнопок Remove и Add, как описано выше в мастере. После этого щелкните закладку Listener.
На страничке Listener с помощью кнопки New создайте новый приемник, если его еще нет, а с помощью кнопки Properties отредактируйте новый приемник или любой существующий из выпадающего списка. Этот процесс полностью идентичен описанному выше в ‘Создание новогоWEB-приемника’ и ‘РедактированиеWeb-приемника для идентификацииRADIUS’. Затем щелкните OK и Apply на панели управления.
Наше правило публикации WEB должно открывать доступ любому пользователю, авторизованному политикой удаленного доступа RADIUS, которую мы настроили в первой части статьи; для примера политика была настроена на авторизацию любого пользователя группы ‘Пользователи домена’. Эта политика может быть отредактирована на авторизацию более ограниченного числа пользователей, также можно настроить группу пользователей без доступа, а также настроить политику запрета для этой группы.
Политики удаленного доступа обеспечивает уровень контроля над тем, кто имеет, а кто не имеет доступа к Вашему опубликованному WEB-сайту. Но в этом отношении политики имеют один недостаток; они применяются ко всем Вашим правилам публикации Web, использующим авторизацию RADIUS. Если Вы хотите иметь контроль над доступом к каждому сайту, то вместо этого понадобятся другие механизмы.
Сам Web-сайт предоставляет возможность более ограниченного доступа. То, что сервер ISA авторизовал пользователя, не означает, что этот пользователь не может быть отключен WEB-сайтом! Наверное, это наиболее приемлемый механизм, но сервер ISA все еще может фильтровать доступ пользователей на различные сайты до того, как они туда вошли.
ISA Server 2004 представляет Наборы Пользователей, которые представляют из себя группы пользователей, которым разрешен или запрещен доступ. Мы уже упоминали в статье о двух встроенных наборах пользователей; наборы Все Пользователи и Все Авторизованные Пользователи позволяют нам позволить доступ любым или только авторизованным пользователям. Но можно создавать и специальные наборы пользователей.
Есть одна сложность: RADIUS создан для авторизации пользователя вне зависимости от платформы, и, следовательно, не должен иметь представления о группах безопасности Microsoft Windows! Вы не сможете создать набор пользователей, основанный на группе безопасности Windows для авторизованных пользователей RADIUS. Но Вы можете создать набор, перечисляющий отдельных авторизованных пользователей RADIUS; в зависимости от того, что Вы хотите достичь, использование этой функции может стать или благословением, или кошмаром для администратора!
Взгляните, открыв панель управления сервера ISA, затем выбрав узел Firewall Policy, щелкнув правой кнопкой на Вашем правиле публикации Web и выбрав из меню Properties. Когда откроется окно свойств, щелкните закладку Users.
Заметьте, что мы можем выбрать, к кому применяется правило, а к кому – нет (Exceptions). Если правило применяется лишь к немногим пользователям, настройте для этого набор пользователя. Если вы хотите отказать в доступе нескольким пользователям, воспользуйтесь функцией Exceptions. А если Вам нужно включить несколько сотен пользователей в ту или иную группу, то, наверное, Вам нужен другой подход к решению этой задачи!
Для примера мы создадим набор пользователей, которым доступ будет запрещен. Щелкните кнопку Add рядом с панелью Exceptions.
Когда откроется диалог Add Users, выберите New чтобы открыть New User Set Wizard.
На страничке приветствия New User Set Wizard назовите как-нибудь набор пользователей и щелкните Next. Откроется страничка следующего мастера — Users. Щелкните Add и выберите RADIUS из меню функций.
Откроется диалог Add User. Термин ‘Пространство имен’ используется для описания того, как пользователь должен быть авторизован. Включение всех пользователей в это пространство имен является, наверное, ненужной опцией. Укажите имя пользователя, которому надо запретить доступ и щелкните OK.
Заметьте, что был указан домен пользователя. Наборы пользователей для RADIUS не очень удобны и Вам придется вводить точную строку с указанием логина, под которым пользователь осуществляет вход. Это также означает что Вам также понадобится вход под этим пользователем, но с указанием их UPN! Кстати, логин UPN работает с авторизацией RADIUS, несмотря на то что в Справке утверждается обратное. Если Вы продолжаете работу над решением задачи, повторяйте процесс добавления пользователей до тех пор, пока не будете удовлетворены содержанием набора пользователей, затем щелкните Next, а после — Finish для завершения работы мастера.
Подсветите Ваш новый набор пользователей в диалоге Add Users, щелкните Add, затем Close для возврата к странице свойств правила публикации WEB.
Остается лишь нажать OK и применить изменения на панели управления сервера ISA.
Авторизацию RADIUS также можно использовать и прокси-клиентам, которые пытаются войти на WEB-серверы (и FTP-серверы) других сетей, например Интернета. Эта функция окажется полезной, если Ваш ISA Server 2004 настроен как прокси, но находится на сервере другого домена, где нет прокси-клиентов. Тем не менее, авторизация RADIUS для клиентов системы сетевой защиты (Firewall) невозможна, и в этом клиенту Firewall нужно, чтобы сервер ISA был членом домена. В этом, последнем, случае авторизация RADIUS прокси-клиентов довольно бессмысленна, так как ‘интегрированная’ авторизация лучше подойдет для этой цели.
Возможны и другие случаи, где авторизация RADIUS подошла бы лучше всего, независимо от того, является ли сервер ISA челном домена или нет: например, у Вас может быть несколько сетей с не-Windows клиентами, которым Вы по какой-то причине предпочтёте авторизацию RADIUS.
Если Вас устраивает авторизация RADIUS для прокси-клиентов, во что надо сделать:
Откройте панель управления сервера ISA и зайдите в узел Networks на левой стороне экрана. Справа выберите закладку Networks и щелкните правой кнопкой но сети, в которой находится Ваш прокси-клиент. Выберите в меню Properties.
На страницах свойств выберите закладку Web Proxy. Вы увидите страницу, которая очень напоминает страницы свойств приемника, которую мы видели ранее, но эта гораздо более ограничена для изменений: Вы не сможете указать IP-адрес, который прослушивает прокси-приемник, и для одной сети можно указать лишь один приемник. Щелкните Authentication.
И опять же, этот диалог очень похож на аналогичный для приемника, но там случае меньше методов авторизации для выбора. Выберите RADIUS и настройте домен по умолчанию, как мы делали это для приемника. Нажмите OK для завершения. С помощью правил доступа в политике сетевой защиты для тонкой настройки доступа.
Авторизация Forms Based (FBA) – управляемый с помощью cookie метод авторизации, предоставляемый другим фильтром авторизации Web. Этот метод авторизует пользователя либо с целевым Web-сайтом, либо с Active Directory в зависимости от того, как Вы настроили его; но не позволяет авторизовать с помощью RADIUS: по меньшей мере это неудачно.
Тем не менее, это упущение исправлено (KB884560) и доступно для особо нетерпеливых в PSS. Оно требует изменений в реестре, которые отключают использование FBA авторизации Active Directory и заставляет использовать доверенный сервер RADIUS, который был настроен ранее, как было описано в статье. Следующий пакет обновлений скорее всего, включит в себя эту функцию.
Эти две статьи широко охватывают метод авторизации ISA сервера RADIUS для доступа к Web. Он позволяет серверу ISA авторизовать клиентов домена на брандмауэре, и что очень важно, не требует принадлежности самого сервера ISA к домену. Даже серверы ISA, являющиеся членами домена, могут использовать RADIUS и использовать дополнительный контроль, предоставляемый RADIUS. Авторизация RADIUS для управления доступом к Web – одна из огромного списка мощных функций, который вводит ISA Server 2004 в высшую лигу продуктов сетевой защиты!
www.isaserver.org
Tags: domain, Exchange, forward, ftp, ISA Server, proxy, vpn