Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 5)

Это последняя часть статьи о публикации сайтов OWA и RPC/HTTP в окружении с единственным Exchange-сервером, не являющимся контроллером домена. В первых четырех частях мы рассмотрели требования и процедуры, которые позволили нам успешно опубликовать сайты OWA и RPC/HTTP на ISA-сервере с одним IP-адресом на внешнем интерфейсе.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 1)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 2)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 3)
• Публикация OWA и RPC/HTTP с одним IP-адресом на ISA-сервере (Часть 4)

В данной части мы узнаем, как осуществить контроль авторизации доступа к сайтам OWA и RPC/HTTP, и проверим, как можно быстро переадресовывать запросы пользователей, если они не добавили к пути URL https:// или /exchange. И, наконец, мы увидим, как можно включить изменение пароля пользователем и оповещение о паролях при использовании LDAP-аутентификации.

Создание группы LDAP и ограничение OWA и RPC/HTTP для группы LDAP. Проверка конфигурации

В созданном нами правиле web-публикации мы использовали для аутентификации установки по умолчанию, т.е. мы разрешили доступ к опубликованным сайтам всем пользователям, прошедшим аутентификацию. В реальных условиях у вас может возникнуть желание ограничить доступ до определенных групп, не предоставляя доступ любому пользователю, имеющему учетную запись в домене.

К примеру, предположим, что мы создали в домене msfirewall.org глобальную группу OWA Users, в которую поместили всех пользователей, которым мы хотим разрешить удаленный доступ к сайтам OWA и RPC/HTTP. Решить такую задачу можно, просто создав группу LDAP. Помните, что у LDAP есть преимущество перед RADIUS: LDAP может использовать существующие группы Active Directory, в то время как RADIUS не может.

Прежде, чем выполнить нижеследующие процедуры, в консоли Active Directory Users and Computers (Пользователи и компьютеры Active Directory) сделайте следующее:

• Создайте группу безопасности OWA Users
• Создайте пользователя User1
• Поместите пользователя User1 в группу OWA Users

Дальнейшие процедуры показывают, как создать группу LDAP на ISA-сервере, основываясь на глобальной группе Active Directory OWA Users:

• В консоли ISA-сервера щелкните по узлу Firewall Policy (Политика сервера) и дважды щелкните по правилу web-публикации OWA and RPC/HTTP.
• В диалоговом окне OWA and RPC/HTTP Properties (Свойства правила OWA and RPC/HTTP) выберите вкладку Users (Пользователи), на которой отметьте параметр All Authenticated Users (Все аутентифицированные пользователи) из списка This rule applies to requests from the following user sets (Данное правило применяется к запросам следующих наборов пользователей) и нажмите кнопку Remove (Удалить).

  

  Рисунок 1

• На вкладке Users (Пользователи) нажмите Add (Добавить).
• В диалоговом окне Add Users (Добавление пользователей) нажмите New (Новый).

• На странице Welcome to the New User Set Wizard (Начало работы мастера создания нового набора пользователей) введите имя набора пользователей LDAP в текстовое поле User set name (Имя набора пользователей). В нашем примере мы назовем набор MSFIREWALL OWA Users. Нажмите Next (Далее).

  

  Рисунок 2

• На странице Users (Пользователи) нажмите Add (Добавить). В выпадающем меню выберите пункт LDAP….

• В диалоговом окне Add LDAP User (Добавить пользователя LDAP) из выпадающего списка LDAP server set (Набор серверов LDAP) выберите запись MSFIREWALL. Выберите параметр Specified group or user (Указать группу или пользователя) и введите OWA Users (имя группы пользователей с разрешенным доступом к сайту OWA). Нажмите OK.

• Появится окно аутентификации, в которое необходимо ввести имя уполномоченного пользователя и пароль (не обязательно администратора домена). Нажмите OK.

• ISA-сервер соединяется с контроллером домена, и после нахождения группы окно регистрации пропадает, и вы увидите LDAP-группу в окне Users (Пользователи). Нажмите Next (Далее).

• На странице Completing the New User Set Wizard (Завершение работы мастера создания нового набора пользователей) нажмите Finish (Завершить).

• В диалоговом окне Add Users (Добавление пользователей) дважды щелкните по пункту MSFIREWALL OWA Users и нажмите Close (Закрыть).

• На вкладке Users (Пользователи) вы теперь можете увидеть набор пользователей LDAP, к которым применяется правило. Нажмите OK.

• Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.
  Теперь давайте проверим эффективность нашего правила и зарегистрируемся на сайте OWA как пользователь user1. Вы увидите, что этот пользователь аутентифицирован и авторизован ISA-сервером, и соединения переадресованы на сайт OWA.
  Теперь попробуем зайти на сайт под учетной записью администратора домена msfirewall.org. Вы увидите, что соединение отклонено. Так произошло из-за того, что мы не включили пользователя Administrator в группу OWA Users. Попытайтесь использовать профиль AdminTest, созданный ранее в Outlook 2003. Вы увидите, что клиент Outlook заблокирован для сайта RPC/HTTP, и опять именно потому, что пользователь Administrator не включен в группу OWA Users.
  Ниже приведены рисунки того, что видит пользователь Administrator при попытке соединения с сайтом OWA, а также окно статуса соединения Outlook с отклоненными соединениями.

  

  Рисунок 3

Прежде, чем двинуться дальше, зайдите на контроллер домена и внесите учетную запись Administrator в группу OWA Users.

Создание переадресации на HTTPS для соединений HTTP и проверка настроек

Часто администраторам ISA-сервера приходится сталкиваться с пользователями, которые не могут запомнить правильный протокол для ввода в адресную строку Internet Explorer. Я достаточно строг с такими пользователями, хотя понимаю, что это не совсем правильно. Причина в том, что обычно пользователи вообще не вводят протокол в адресную строку. Если пользователь хочет зайти на сайт www.microsoft.com, он не вводит протокол http://, поскольку Internet Explorer сделает это автоматически за него. Так что для пользователя может быть неестественным вводить протокол, поскольку он никогда не делал этого раньше.

В сервер ISA 2006 включена новая функция, которая позволяет настроить web-приемник на автоматическую переадресацию пользователей, набирающих адрес owa.msfirewall.org/exchange, на https://owa.msfirewall.org/exchange.

Для создания переадресации дважды щелкните по правилу OWA and RPC/HTTP и выберите вкладку Listener (Приемник) диалогового окна OWA and RPC/HTTP Properties (Свойства правила OWA and RPC/HTTP). Нажмите кнопку Properties (Свойства).

Рисунок 4

В диалоговом окне SSL Listener Properties (СвойстваSSL-приемника) выберите вкладку Connections (Соединения). Обратите внимание, что приемник настроен на разрешение только SSL-соединений. Поскольку мы хотим переадресовывать запросы пользователей, соединяющихся не по SSL, нам нужно отметить параметр Enable HTTP connections on port (Разрешить HTTP-соединения по порту) и оставить значение по умолчанию 80.

Помимо этого, нам нужно сделать переадресацию принудительной. В разделе HTTP to HTTPS Redirection (ПереадресацияHTTP наHTTPS) выберите Redirect all traffic from HTTP to HTTPS (Переадресовывать весь трафик сHTTP наHTTPS) . Теперь все HTTP-соединения с данным web-приемником и любое правило, использующее данный приемник, будут переадресовываться.

После изменений нажмите OK.

В диалоговом окне OWAandRPC/HTTPProperties (Свойства правилаOWAandRPC/HTTP) нажмите OK.

Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Теперь откройте Internet Explorer на компьютере клиента и введите в качестве адреса owa.msfirewall.org/exchange. Поскольку мы не написали протокол, Internet Explorer автоматически подставит http://, и соединение будет обычным HTTP-запросом к ISA-серверу.

После установления соединения вы увидите, что оно автоматически изменилось на HTTPS. Появится форма регистрации.

Создание переадресации с корневого каталога на папку /Exchange

Пользователи создают администраторам много проблем. Помимо неправильного протокола они часто забывают включать (или специально не вводят) в путь URL папку /Exchange. Вместо адреса owa.msfirewall.org/exchange пользователи хотят набирать owa.msfirewall.org и автоматически переадресовываться на сайт https://owa.msfirewall.org/exchange.

В новый ISA-сервер включена функция, которая позволяет настроить переадресацию. Для этого вам нужно создать запрещающее правило web-публикации. Таким образом вы легко можете переадресовывать соединения с запрещенных URL на любой другой внутренний или внешний сайт.

Необходимо сделать следующее:

• Создать запрещающее правило web-публикации, переадресовывающее путь / в путь /Exchange. Это правило будет отклонять запросы к owa.msfirewall.org и переадресовывать их на owa.msfirewall.org/exchange
• Поместить правило RPC/HTTP над правилом запрета, а правило запрета разместить над правилом публикации OWA and RPC/HTTP Правило запрета должно располагаться выше правила OWA and RPC/HTTP, поскольку вначале нам нужно отклонить соединение для переадресации

Вы можете поинтересоваться, почему в этом случае не прерывается соединение RPC/HTTP. Дело в том, что переадресация затрагивает только адрес owa.msfirewall.org/, но не owa.msfirewall.org/rpc. Это значит, что соединения клиента Outlook RPC/HTTP будут игнорироваться первым правилом, а правило OWA and RPC/HTTP будет первым, соответствующим соединению.

Создание запрещающего правила web-публикации, переадресовывающего путь / в путь /Exchange

Создадим запрещающее правило web-публикации. Для этого выполните следующее:

• В консоли управления ISA-сервером щелкните по узлу Firewall Policy (Политика сервера) и выберите вкладку Tasks (Задачи) в Панели задач. Нажмите Publish Web Sites (Публикация web-сайтов).
• На странице Welcome to the New Web Publishing Rule Wizard (Начало работы мастера создания правила web-публикации) введите имя правила. Мы назовем правило OWA Redirect. Нажмите Next (Далее).

  

  Рисунок 5
  

• На странице Select Rule Action (Выбор действия по правилу) выберите Deny (Запрет). Все соединения с заданными параметрами будут запрещены. Было бы неплохо, если бы разработчики ISA-сервера тут же включили текстовое поле для ввода адресе для переадресации, однако нам придется подождать, пока правило не создастся, а затем зайти в его свойства. Нажмите Next (Далее).

• На странице Publishing Type (Тип публикации) выберите Publish a single Web site or load balancer (Публиковать единственный web-сайт или балансировщик нагрузки) и нажмите Next (Далее).

• На странице Server Connection Security (Защита соединений с сервером) выберите Use SSL to connect to the published Web server or server farm (Использовать SSL для связи с опубликованным web-сервером или группой серверов). Для нас данный параметр не имеет никакого значения, поскольку никакие соединения не будут переадресовываться. Нажмите Next (Далее).

• На странице Internal Publishing Details (Детали внутренней публикации) введите внутренней имя сайта в поле Internal site name (Имя внутреннего сайта). Отметьте параметр Use a computer name or IP address to connect to the published server (Использовать имя компьютера или IP-адрес для связи с опубликованным сервером) и введите IP-адрес OWA-сервера. Еще раз замечу, что эти данные не имеют никакого значения, поскольку никакие соединения не будут переадресовываться. Нажмите Next (Далее).

• На странице Internal Publishing Details (Детали внутренней публикации) введите / (без звездочки после /) в поле Path (optional) (Путь (по желанию)). Нажмите Next (Далее).

• На странице Public Name Details (Детали имени) введите в соответствующее поле имя owa.msfirewall.org. Введите / (без звездочки после /) в поле Path (optional) (Путь (по желанию)). Это – ключевая настройка, поскольку мы хотим, чтобы все соединения с адресом owa.msfirewall.org/ были отклонены и переадресованы. Обратите внимание, что пользователю не нужно вводить /, Internet Explorer сделает это за него. Нажмите Next (Далее).

• На странице Select Web Listener (Выбор web-приемника) из выпадающего списка Web listener (Web-приемник) выберите SSL Listener (приемник, созданный нами ранее). Нажмите Next (Далее).

• На странице Authentication Delegation (Делегирование аутентификации) примите значение по умолчанию — No delegation, and client cannot authenticate directly (Нет делегирования. Клиент не может аутентифицироваться напрямую). Нет смысла аутентифицировать клиента, поскольку все соединения будут автоматически переадресовываться для всех.

• На странице User Sets (Пользователи) выберите All Authenticated Users (Все аутентифицированные пользователи) из списка This rule applies to requests from the following user sets(Данное правило применяется к запросам следующих наборов пользователей) и нажмите Remove (Удалить). Нажмите Add (Добавить).

• В диалоговом окне Add Users (Добавление пользователей) дважды щелкните по пункту All Users (Все пользователи) и нажмите Close (Закрыть).

• На странице User Sets (Пользователи) нажмите Next (Далее).

• На странице Completing the New Web Publishing Rule Wizard (Завершение работы мастера создания нового правила web-публикации) нажмите Finish (Завершить).

• Дважды щелкните по правилу OWA Redirect в консоли ISA-сервера. В диалоговом окне OWA Redirect Properties (Свойства правила OWA Redirect) выберите вкладку Action (Действие). Отметьте параметр Redirect HTTP requests to this Web page (Переадресовывать HTTP-запросы на эту web-страницу) и введите https://owa.msfirewall.org/exchange. Нажмите OK.

• Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Изменение порядка правил

Убедитесь, что правило запрета находится выше правила OWA and RPC/HTTP, как показано на Рисунке 32. Если это не так, используйте стрелки для установления верного порядка правил.

Рисунок 6

Проверка

Откройте Internet Explorer и введите owa.msfirewall.org. Обратите внимание, что этот запрос будет послан по HTTP и пути /exchange нет. Так мы сможем проверить переадресацию и протокола, и пути.

Рисунок 7

Появляется окно регистрации OWA, и вы видите, что протокол изменился на HTTPS. Вы не увидите пути /exchange, но его можно обнаружить в запросе (рядом со знаком вопроса).

Включение функции изменения паролей и уведомления для LDAP-аутентификации

Мы уже создали LDAP-сервер, который разрешает ISA-серверу аутентифицировать пользователей из базы данных Active Directory. Однако, наши пользователи не могут менять пароли и не получают уведомления о том, что срок действия их пароля истек или скоро истечет.

Для поддержки изменения паролей пользователями с помощью предварительной LDAP-аутентификации на ISA-сервере мы должны включить поддержку LDAPS. Для того, чтобы использовать LDAPS, вы должны установить сертификат компьютера на контроллеры домена с правильным именем сертификата. Самый простой способ сделать это – использование корпоративного центра сертификации и автоматической регистрации через групповую политику.

ISA-серверу нужен сертификат центра сертификации, установленный в его собственном хранилище сертификатов компьютера Trusted Root Certification Authorities (Доверенные корневые центры сертификации), чтобы ISA-сервер доверял сертификатам, установленным на контроллерах домена. Мы уже установили сертификат центра сертификации на ISA-сервер, когда мы устанавливали сертификат web-сайта в хранилище сертификатов компьютера ISA-сервера.

Если LDAPS-аутентификации включена, опция Use Global Catalog (Использовать Глобальный каталог) должна быть отключена, и в поле Type the Active Directory domain name (use the fully-qualified domain name) (Введите имя домена Active Directory (используйте полностью определенное имя домена)) вы должны ввести FQDN-имя домена Active Directory. Если вы не хотите включать функцию управления паролями, отметьте опцию Use Global Catalog (Использовать Глобальный каталог) и оставьте поле имени домена Active Directory пустым.

Поскольку мы хотим использовать функцию изменения пароля, мы должны сделать указанные изменения, а также должны предоставить учетные данные для доступа в Active Directory для подтверждения статуса учетной записи пользователя и пароля. Это может быть любой пользователь Active Directory, не обязательно администратор домена.

Для выполнения необходимых изменений раскройте узел Configuration (Настройки) в левой части консоли и выберите вкладку General (Общие). Нажмите на ссылку Specify RADIUS and LDAP Servers (Указать серверы RADIUS и LDAP). В диалоговом окне Authentication Servers (Серверы аутентификации) выберите вкладку LDAP Servers (LDAP-серверы). Дважды щелкните по MSFIREWALL из списка LDAP-серверов.

В диалоговом окне Add LDAP Server Set (Добавить наборLDAP-серверов) уберите отметку с Use Global Catalog (Использовать Глобальный каталог) и отметьте Connect LDAP servers over secure connection (Соединяться с LDAP-серверами безопасными соединениями). Введите имя и пароль пользователя домена в поля User name (Имя пользователя) и Password (Пароль). Нажмите OK, затем еще раз OK в диалоговом окне Authentication Servers (Серверы аутентификации).

Рисунок8

Для поддержки изменения паролей и уведомлений о смене паролей вам нужно настроить web-приемник на предоставление этой информации пользователям OWA (пользователи RPC/HTTP не будут получать уведомления, поскольку этот клиент не поддерживает такую возможность). Есть несколько способов войти в окно свойств созданного нами приемника. Можно дважды щелкнуть по имени приемника в списке правил сервера в столбце From/Listener (От/Приемник). В любом случае, нам нужно зайти в окно свойств приемника.

В окне свойств приемника выберите вкладку Forms (Формы). Отметьте параметры Allow users to change their passwords (Разрешать пользователям изменять пароли) и Remind users that their password will expire in this number of days (Напоминать пользователям, что срок действия их пароля истекает через это количество дней). Нажмите OK.

Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите OK.

Зайдите на сайт OWA после сохранения изменений. Вы увидите, что окно регистрации изменилось. Теперь у вас есть параметр I want to change my password after logging on (Я хочу изменить свой пароль после регистрации).

После ввода учетных данных и нажатия кнопки Log On (Войти), вы увидите страницу смены пароля (Рисунок 38). Введите старый пароль, а затем введите новый пароль и подтвердите его. Нажмите Change Password (Изменить пароль).

После смены пароля появится окно, сообщающее о том, что пароль был изменен. Затем пользователь будет автоматически перенаправлен на свой почтовый ящик.

Резюме

В последней части нашей статьи о публикации сайтов OWA и RPC/HTTP в окружении с единственным Exchange-сервером, не являющемся контроллером домена, мы рассмотрели процедуры, необходимые для переадресации пользователей в случае ввода ими неверного пути и протокола при доступе к сайту OWA.

www.isaserver.org

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Nat Windows 2003
• Ограничение времени выполнения хранимой процедуры oracle
• Уникальные шрифты

Tags: domain, Exchange, ldap, redirect, traffic