Exporter (0) Imprimer
Développer tout

Publication d'applications sécurisée

Paru le 05 septembre 2006

Microsoft® Internet Security and Acceleration (ISA) Server 2006 est la passerelle de sécurité qui assure la protection de vos applications cruciales contre les menaces liées à Internet. ISA Server augmente les capacités de votre entreprise en fournissant un accès sécurisé aux applications et aux données Microsoft. Sécurisez l'infrastructure de vos applications Microsoft en protégeant les applications, services et données de votre entreprise sur l'ensemble des couches réseau grâce à la vérification des paquets avec état, au filtrage de la couche des applications et aux outils complets de publication. Rationalisez votre réseau en simplifiant les expériences administrateur et utilisateur à l'aide d'une architecture unifiée de pare-feu et de réseau privé virtuel (VPN), qui inclut la mise en cache Web et la gestion de la bande passante, un moteur optimisé de filtrage de pare-feu et des contrôles d'accès complets. Assurez la sécurité de votre environnement informatique pour réduire les risques et les coûts liés à la sécurité et éliminer l'influence négative des logiciels malveillants et des pirates sur votre entreprise à l'aide d'outils complets permettant d'analyser et de bloquer les contenus, les fichiers et les sites Web infectés.

Ce document présente les nouvelles fonctionnalités et les améliorations :

  • Scénarios de publication d'applications sécurisée

  • Publication de Microsoft Office SharePoint® Portal Server

  • Publication d'accès client Web Microsoft Exchange

  • Accès Web Microsoft Outlook®

  • Microsoft Office Outlook 2003 RPC sur accès HTTP

  • Groupes de serveurs pour équilibrer la charge entre les serveurs Web

  • Authentification unique (single sign-on - SSO)

Sommaire

Scénario

Solution

Topologie du réseau

Procédures détaillées de publication d'applications sécurisée

Annexe A : Fonctions supplémentaires de publication

Annexe B : Configuration LDAP

Annexe C : Mappage des accès de substitution

Annexe D : Conseils relatifs à la sécurité

Annexe E : Conseils relatifs à l'administration

Scénario

Contoso, Ltd souhaite fournir à ses employés, lorsqu'ils ne se trouvent pas au bureau, un accès simple et sécurisé aux applications métier suivantes :

  • Outlook Web Access

  • RPC sur HTTP pour les clients Outlook

  • SharePoint Portal Server et Windows SharePoint Services

Contoso souhaite également améliorer les relations professionnelles avec les partenaires et les fournisseurs en assurant un accès à ces applications.

Actuellement, les utilisateurs ont uniquement accès à ces applications via une connexion VPN d'accès client. Pour des raisons de sécurité, Contoso ne souhaite pas autoriser l'accès direct à ces applications depuis Internet, car des attaques peuvent se dissimuler dans les connexions SSL (Secure Sockets Layer). Contoso ne souhaite pas non plus que les serveurs internes soient directement accessibles depuis Internet.

Les connexions VPN d'accès client peuvent être relativement lentes et l'ordinateur client nécessite une configuration correcte de sa connexion VPN. De même, lorsque les employés ne sont pas sur site, ils peuvent se trouver derrière un pare-feu qui bloque les connexions VPN d'accès client. Ces restrictions réduisent l'efficacité de l'accès aux informations importantes en dehors du bureau. La publication avec ISA Server 2006 fournit un accès simple et sécurisé aux applications.

Solution

La solution prescrite consiste à publier des applications avec ISA Server 2006. La communication depuis des clients externes vers l'ordinateur ISA Server et depuis l'ordinateur ISA Server vers le serveur publié est crypté à l'aide d'une connexion SSL. ISA Server n'est pas connecté au domaine et effectue l'authentification via une connexion LDAP (Lightweight Directory Access Protocol) au domaine.

Il est possible d'utiliser ISA Server 2006 Édition Standard ou ISA Server 2006 Édition Entreprise dans cette solution.

Sécurité

ISA Server 2006 traite les problèmes de Contoso en mettant les applications à disposition sur Internet de manière sécurisée.

Accès direct au serveur impossible via Internet

Lorsque vous publiez une application via ISA Server 2006, vous protégez le serveur contre un accès externe direct, car l'utilisateur n'a pas accès au nom et à l'adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server, qui transmet ensuite la demande au serveur en fonction des conditions de la règle de publication du serveur.

Vérification des paquets SSL

Le pontage SSL protège contre les attaques cachées dans des connexions cryptées SSL. Dans le cadre d'applications Web SSL, ISA Server 2006 reçoit la demande du client, puis la décrypte, la vérifie et termine la connexion SSL avec l'ordinateur client. Les règles de publication Web déterminent comment ISA Server transmet la demande de l'objet au serveur Web effectuant la publication. Si la règle de publication Web sécurisée est configurée pour transmettre la demande via le protocole HTTPS (Secure HTTP), ISA Server démarre une nouvelle connexion SSL avec le serveur publié. L'ordinateur ISA Server étant à présent un client SSL, il faut que le serveur Web effectuant la publication réponde en envoyant un certificat côté serveur.

Authentification

ISA Server 2006 vous permet de configurer une authentification basée sur les formulaires pour les applications prises en charge. Une authentification basée sur les formulaires permet l'amélioration des méthodes d'authentification requises, l'authentification à deux facteurs, la vérification de la disponibilité des pièces jointes, ainsi qu'une connexion centralisée.

ISA Server 2006 prend en charge l'authentification LDAP, ce qui vous permet de placer l'ordinateur ISA Server dans le réseau de périmètre (également appelé DMZ, zone démilitarisée et sous-réseau filtré). L'ordinateur ISA Server ne se joint pas au domaine, vous n'avez donc plus à ouvrir tous les ports requis pour établir des communications de service d'annuaire Active Directory®. Par contre, vous devez toujours ouvrir des ports de catalogue globaux ou LDAP entre l'ordinateur ISA Server et le contrôleur de domaine Active Directory configuré. Maintenir une configuration de groupes de travail sur vos ordinateurs ISA Server réduit la surface d'attaque et simplifie le déploiement de ISA Server. Pour plus d'informations sur l'authentification, voir « Authentication in ISA Server 2006 » (en anglais) sur le site Web Microsoft TechNet.

Simplicité d’utilisation

ISA Server 2006 propose différentes méthodes pour faciliter l'utilisation des connexions VPN d'accès client :

  • L'accès aux applications publiées s'effectue via un navigateur Web.

  • Les applications sont à présent plus largement disponibles et plus accessibles que les VPN d'accès à distance grâce aux connexions SSL. Vous pouvez accéder aux applications publiées derrière des pare-feu depuis des connexions utilisant une traduction d'adresses réseau (NAT) et depuis d'autres périphériques réseau pouvant en revanche bloquer les connexions VPN d'accès à distance.

  • La connexion SSL facilite et accélère le processus de reconnexion. Si votre connexion à Internet est interrompue, vous n'êtes plus obligé de vous reconnecter via le numéroteur VPN d'accès à distance. Une fois la connexion rétablie, vous pouvez revenir à votre application publiée.

  • Les partenaires, fournisseurs et employés en dehors du bureau peuvent facilement accéder aux informations requises en toute sécurité.

Topologie du réseau

Les scénarios supposent que vous allez déployer cette solution dans un environnement de laboratoire disposant des deux réseaux suivants :

  • Un réseau simulant votre réseau d'entreprise, appelé HQ_Net. Dans la procédure, le réseau HQ_Net s'étend sur la plage d'adresses suivante : de 10.0.0.1 à 10.0.0.254.

  • Un réseau simulant Internet, appelé Test_Internet. Dans la procédure, le réseau Test_Internet s'étend sur la plage d'adresses suivante : de 172.16.0.0 à 172.16.255.255.

La figure suivante représente les ordinateurs utilisés dans la procédure de fonction.

Le tableau ci-dessous fournit des informations sur les ordinateurs utilisés dans la procédure de fonction.

Nom de l’ordinateur

Système d'exploitation

Logiciel supplémentaire

Commentaires

dc01

Microsoft® Windows Server™ 2003 avec Service Pack 1 (SP1)

Contrôleur de domaine, système DNS (Domain Name System), services Internet (IIS), autorité de certification (CA)

Contrôleur de domaine et autorité de certification interne

exchange01

Windows Server 2003 SP1

Microsoft Exchange Server 2003 SP1, IIS

Serveur Exchange principal

owa01

Windows Server 2003 SP1

Exchange Server 2003 SP1, IIS

Serveur Exchange frontal

sps01

Windows Server 2003 SP1

Microsoft Office SharePoint Portal Server 2003 avec Service Pack 2, IIS

Aucun

isa01

Windows Server 2003 SP1

ISA Server 2006 Édition Standard ou Édition Entreprise

Aucun

client01

Windows® XP Professionnel avec Service Pack 2 (SP2)

Microsoft Office Word 2003, Office Excel 2003 et Office Outlook 2003

Aucun

storage01

Windows Server 2003 SP1

ISA Server 2006 Édition Entreprise

Serveur de stockage de configuration requis uniquement pour Édition Entreprise

router01

Windows Server 2003 SP1

IIS, DNS, CA

Routage Internet simulé, DNS et services CA

Les considérations suivantes s'appliquent :

  • Un ordinateur appelé dc01 représente le contrôleur de domaine pour le réseau HQ_Net et fournit les services suivants :

    • Un contrôleur de domaine pour corp.contoso.com

    • Des services d'authentification

    • Un DNS pour le domaine interne corp.contoso.com

    • Des services CA pour corp.contoso.com

  • Un ordinateur appelé exchange01 fournit des services de messagerie pour corp.contoso.com. Cet ordinateur est membre du domaine.

  • Un ordinateur appelé owa01 fournit Outlook Web Access pour les utilisateurs distants. Cet ordinateur est membre du domaine.

  • Un ordinateur appelé sps01 fournit des services de portail SharePoint Portal Server 2003 pour les utilisateurs distants. Cet ordinateur est membre du domaine.

  • Un ordinateur appelé storage01 représente le serveur de stockage de configurations pour l'entreprise, qui est nécessaire avec ISA Server Édition Entreprise. Cet ordinateur est membre du domaine. Le serveur de stockage de configurations a été installé avec un certificat d'authentification sur un canal crypté SSL.

  • Un ordinateur appelé isa01 fournit un pare-feu et des services de publication. Cet ordinateur est membre d'un groupe de travail. Vous devez configurer l'authentification LDAP pour que ISA Server puisse authentifier les utilisateurs du domaine. Deux cartes réseau sont installées sur l'ordinateur isa01 :

    • L'adresse IP de la carte connectée au réseau HQ_Net est 10.0.0.254/24.

    • L'adresse IP de la carte connectée au réseau Test_Internet est 172.16.0.2/24, et son adresse IP secondaire est comprise entre 172.16.0.103 et 172.16.0.104.

  • Pour ISA Server 2006 Édition Entreprise, les considérations suivantes s'appliquent :

    • Suivez les instructions fournies dans le guide de démarrage rapide ISA Server 2006 pour installer le serveur de stockage de configurations. Puisque l'ordinateur ISA Server ne se joint pas au domaine, sélectionnez Utiliser l'authentification de certificats au cours de l'installation sur la page Environnement de déploiement d'entreprise et indiquez l'emplacement du certificat du serveur exporté.

  • La solution suppose qu'un tableau nommé « main » (principal) a été créé avec les paramètres de configuration suivants :

  • Storage01 a été ajouté à l'ensemble d'ordinateurs Ordinateurs de gestion à distance.

  • L'authentification sur la page Stockage de configurations a été définie sur Authentifier sur canal crypté SSL.

  • isa01 a joint le tableau principal lors de l'installation de ISA Server 2006.

Pour plus d'informations sur l'installation de ISA Server 2006, reportez-vous aux guides de démarrage rapide et guides d'installation présents sur le CD du produit.

Le tableau suivant présente trois utilisateurs, créés dans le domaine, possédant une messagerie sur exchange01.

Prénom

Nom

Nom d'ouverture de session de l'utilisateur

Avant Windows 2000 Server

Mot de passe

Messagerie

Exchange

Matt

Berg

mberg

Mberg

Passw0rd

Oui

exchange01

Jeff

Hay

Jhay

Jhay

Passw0rd

Oui

exchange01

Lisa

Miller

lmiller

Lmiller

Passw0rd

Oui

exchange01

Un ordinateur appelé router01 fournit des services DNS et CA au réseau Test_Internet. Cet ordinateur n'est pas membre du domaine.

note  Remarque :

La configuration est similaire dans un environnement de production. Les différences résideraient dans l'utilisation du réseau externe défini par ISA Server par défaut (représentant Internet) à la place du réseau Test_Internet et dans l'utilisation de vos plages d'adresses IP réelles pour votre réseau interne et votre réseau de périmètre.

Pour plus d'informations sur l'installation de ISA Server 2006, reportez-vous aux guides de démarrage rapide et guides d'installation présents sur le CD du produit.

Procédures détaillées de publication d'applications sécurisée

Cette section traite les sujets suivants :

Configuration de ISA Server 2006 pour une authentification LDAP

Publication d'Outlook Web Access et de RPC sur HTTP

Publication de sites SharePoint

Sécurisation de l'authentification unique entre une publication Web et une publication Outlook Web Access

Configuration de ISA Server 2006 pour une authentification LDAP

L'authentification LDAP est similaire à l'authentification Active Directory, hormis le fait que l'ordinateur ISA Server n'est pas obligatoirement membre du domaine. ISA Server 2006 se connecte à un serveur LDAP configuré via le protocole LDAP pour authentifier l'utilisateur. Tous les contrôleurs de domaine Windows assurent également la fonction de serveur LDAP, par défaut, sans qu'aucune modification supplémentaire de la configuration ne soit nécessaire. L'authentification LDAP présente les avantages suivants :

  • Membres du tableau Serveur ISA Server 2006 Édition Standard ou ISA Server 2006 Édition Entreprise en mode groupe de travail. Lorsque ISA Server est installé dans un réseau de périmètre, vous n'avez plus besoin d'ouvrir tous les ports requis pour appartenir au domaine.

  • Authentification des utilisateurs dans un domaine avec lequel aucune relation de confiance n'est établie.

Pour plus d'informations sur LDAP, reportez-vous à l'Annexe B : Configuration LDAP

Pour configurer l'authentification LDAP, vous devez :

Création d'un ensemble de serveurs LDAP ;

Création d'un ensemble d'utilisateurs LDAP.

Création d'un ensemble de serveurs LDAP

Effectuez la procédure ci-dessous pour créer un ensemble de serveurs LDAP. Avec la version Édition Standard, effectuez la procédure sur l'ordinateur isa01. Avec la version Édition Entreprise, effectuez la procédure sur l'ordinateur storage01.

Pour créer un ensemble de serveurs LDAP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :

    • Avec ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, isa01 et Configuration, puis cliquez sur Général.

    • Avec ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, main et Configuration, puis cliquez sur Général.

  2. Dans le volet d'informations, cliquez sur Spécifier serveurs RADIUS et LDAP.

  3. Dans l'onglet Ensembles de serveurs LDAP, cliquez sur Ajouter pour ouvrir la boîte de dialogue Ajouter un ensemble de serveurs LDAP.

  4. Dans le champ Nom ensemble de serveurs LDAP, entrez CorpLDAP.

  5. Cliquez sur Ajouter pour ajouter un nom de serveur LDAP ou une adresse IP.

  6. Dans le champ Nom de serveur, entrez dc01 et cliquez sur OK.

  7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un ensemble de serveurs LDAP.

  8. Cliquez sur Nouveau pour ouvrir la boîte de dialogue Nouveau mappage du serveur LDAP.

  9. Dans le champ Expression de connexion, entrez corp\*. Dans la liste déroulante Ensemble de serveurs LDAP, sélectionnez CorpLDAP, puis cliquez sur OK.

  10. Cliquez sur Fermer pour fermer la fenêtre Serveurs d'authentification.

Pour plus d'informations sur les paramètres du serveur LDAP, reportez-vous à l'Annexe B : Configuration LDAP

Création d'un ensemble d'utilisateurs LDAP

Pour authentifier les utilisateurs sur LDAP, vous devez déterminer les utilisateurs à authentifier et l'auteur de l'authentification. Pour ce faire, vous devez créer un ensemble d'utilisateurs LDAP.

Effectuez la procédure ci-dessous pour créer un ensemble d'utilisateurs LDAP. Avec la version Édition Standard, effectuez la procédure sur l'ordinateur isa01. Avec la version Édition Entreprise, effectuez la procédure sur l'ordinateur storage01.

Pour créer un ensemble d'utilisateurs LDAP
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

Page

Champ ou propriété

Configuration

Bienvenue

Nom d'ensemble d'utilisateurs

Entrez LDAPUsers.

Utilisateurs

Sélectionnez les utilisateurs à inclure dans cet ensemble

Cliquez sur Ajouter, puis sélectionnez LDAP.

Ajoutez un utilisateur LDAP

Ensemble de serveurs LDAP

Nom d'utilisateur

Sélectionnez l'ensemble de serveurs LDAP CorpLDAP dans la liste déroulante.

Sélectionnez Tous les utilisateurs de cet espace de nom.

Remarque   Vous pouvez également spécifier des groupes ou des comptes d'utilisateurs spécifiques si vous ne souhaitez pas inclure tous les utilisateurs dans cet ensemble d'utilisateurs LDAP.

Fin de l'Assistant Nouvel ensemble d'utilisateurs

Revoir les paramètres

Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant.

  1. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Publication d'Outlook Web Access et de RPC sur HTTP

Outlook Web Access permet au navigateur Web d'accéder au courrier électronique, à la planification (y compris la planification de groupe), aux contacts, aux tâches et aux informations de collaboration des dossiers Exchange Storage System. Outlook Web Access est utilisé par des utilisateurs à distance, à domicile et itinérants.

RPC sur HTTP permet aux utilisateurs d'accéder à la messagerie électronique avec Office Outlook 2003 via Internet. Exchange Server 2003, combiné avec Outlook 2003 et Windows Server 2003, prend en charge l'utilisation de RPC sur HTTP pour accéder aux serveurs qui exécutent Exchange Server. Grâce à RPC sur HTTP, les utilisateurs ne sont plus obligés de passer par une connexion VPN pour se connecter aux boîtes aux lettres Exchange. Les utilisateurs exécutant Outlook 2003 sur des ordinateurs client peuvent se connecter à un serveur Exchange dans un environnement d'entreprise via Internet.

Lorsque vous publiez des serveurs Outlook Web Access et RPC sur HTTP via ISA Server, vous assurez la protection du serveur Outlook Web Access et du serveur proxy RPC sur HTTP via un accès externe direct, car l'utilisateur ne peut accéder ni au nom, ni à l'adresse IP. L'utilisateur accède à l'ordinateur ISA Server, qui transmet la demande au serveur Outlook Web Access ou au serveur proxy RPC sur HTTP en fonction de la règle de publication définie sur serveur de messagerie.

De plus, lorsque vous publiez Outlook Web Access, ISA Server vous permet de configurer une authentification basée sur des formulaires, d'améliorer les méthodes d'authentification requises, d'activer l'authentification à deux facteurs, de vérifier la disponibilité des pièces jointes et de garantir une connexion centralisée.

L'Assistant Nouvelle publication Exchange Server permet également de publier Outlook Mobile Access et Exchange ActiveSync®. Outlook Mobile Access fournit aux utilisateurs un accès à Outlook à partir de périphériques mobiles. Exchange ActiveSync permet une synchronisation avec des niveaux de sécurité très élevés, directement vers vos boîtes aux lettres Exchange depuis des périphériques basés Microsoft Windows Mobile®, tels que Pocket PC, Pocket PC Phone Edition et Smartphones.

Avant de commencer

Les hypothèses de scénario sont vérifiées dans cette section. Des tableaux informatifs aident à collecter les informations nécessaires à l'utilisation de l'Assistant Nouveau port d'écoute Web et de l'Assistant Nouvelle règle de publication Exchange.

Hypothèses de scénario

Le scénario présente les hypothèses suivantes :

  • Exchange Server 2003 est installé et configuré sur exchange01.

  • Exchange Server 2003 est installé et configuré sur owa01. L'ordinateur owa0 doit être configuré en tant que serveur frontal Exchange. Pour plus d'informations sur les configurations des serveurs Exchange frontaux et principaux, voir les pages suivantes :

    Sur owa01, ne sélectionnez pas l'option d'authentification basée sur les formulaires Exchange Server 2003. L'authentification basée sur les formulaires doit être configurée selon la règle de publication ISA Server Web.

  • L'ordinateur owa01 dispose d'un certificat SSL installé à partir de dc01 portant le nom courant owa01.corp.contoso.com. L'URL interne est https://owa01.corp.contoso.com/exchange.

  • Le nom courant externe (nom de domaine pleinement qualifié ou FQDN) est mail.contoso.com.

  • Le certificat de l'autorité de certification racine de dc01 est installé sur l'ordinateur isa01. ISA Server doit absolument accepter la validité du certificat sur owa01.

  • L'ordinateur isa01 dispose d'un certificat SSL installé à partir de router01 portant le nom courant mail.contoso.com.

  • Le FQDN mail.contoso.com résout l'adresse IP 172.16.0.104 installée en tant qu'adresse IP secondaire sur isa01.

Tableaux informatifs

Mettez à jour le tableau suivant en entrant les informations qui seront utilisées avec l'Assistant Nouveau port d'écoute Web.

Propriété

Valeur

Nom du port d'écoute Web

Nom : ________________________

Sécurité de la connexion cliente

Remarque :

  • Si le protocole HTTP est sélectionné, les informations entre l'ordinateur ISA Server et le client seront transférées sous forme de texte brut.
  • Si le protocole HTTPS est sélectionné, il faut installer un certificat de serveur sur l'ordinateur ISA Server.

HTTPS ou HTTP (entourez une des propositions)

Adresse IP du port d'écoute Web

Réseau : ___________________

Facultatif

Adresse IP spécifique : ___.___.___.___

note  Remarque :

SI cette adresse IP spécifique n'est pas l'adresse IP principale de la carte réseau, une adresse IP secondaire doit être installée sur l'ordinateur ISA Server avant la création du port d'écoute Web.

Paramètres d'authentification du port d'écoute Web Certificat SSL

Remarque   Requis uniquement si le protocole HTTPS a été sélectionné du côté client pour la sécurité de connectivité.

___Utilisez un seul certificat pour ce port d'écoute Web.

Certificat délivré à : _______________________

___Attribuez un certificat pour chaque adresse IP. (Cette option est disponible uniquement si une adresse IP spécifique a été attribuée au port d'écoute Web.)

Certificat délivré à : _______________________

Paramètres d'authentification unique

___Activez l'authentification unique.

Nom de domaine de l'authentification unique :

___________________________

Mettez à jour le tableau suivant en entrant les informations qui seront utilisée avec l'Assistant Nouvelle règle de publication Exchange.

Propriété

Valeur

Nom de la règle de publication Exchange

Nom : ________________________

Services

Version d'Exchange : ____________

__Outlook Web Access

__RPC sur HTTP

__Outlook Mobile Access

__Exchange ActiveSync

Type de publication

__Publiez un seul site Web.

Ou

__Publiez une batterie de serveurs d'équilibrage de la charge.

et

Nom de la batterie de serveurs :_____________

Sécurité de la connexion au serveur

HTTPS ou HTTP (entourez une des propositions)

Remarque :

  • Si le protocole HTTP est sélectionné, les informations entre l'ordinateur ISA Server et le serveur Web seront transmises en texte brut.
  • Si le protocole HTTPS est sélectionné, il est nécessaire d'installer un certificat serveur au niveau du serveur Web.

Informations de publication interne

Nom de site Web local (FQDN) : ______________________

Si l'ordinateur ISA Server ne parvient pas à résoudre le FQDN :

Nom de l'ordinateur ou adresse IP :_____________________

Informations sur les noms publics

Accepter les demandes pour :

__Ce nom de domaine :______________

Ou

__N'importe quel nom de domaine

Sélection du port d'écoute Web

Port d'écoute Web :________________

Ensemble d'utilisateurs

Liste des ensembles d'utilisateurs ayant accès à cette règle :

_________________

__________________

Procédure

Les ordinateurs suivants sont nécessaires pour accomplir la procédure :

  • dc01

  • exchange01

  • owa01

  • storage01 (pour l'Édition Entreprise)

  • isa01

  • router01

  • client01

Les procédures suivantes permettent de publier Outlook Web Access et RPC sur HTTP :

Création d'une batterie de serveurs (en option)

Création d'un port d'écoute Web

Création d'une règle de publication d'accès client Web Exchange

Création d'une batterie de serveurs (en option)

Lorsque vous avez plusieurs serveurs Web fournissant l'accès au même contenu, vous pouvez utiliser ISA Server 2006 pour équilibrer la charge au niveau des serveurs. Vous pourrez ainsi publier une seule fois le site Web au lieu d'exécuter plusieurs fois l'assistant. Vous n'avez également plus besoin d'un produit tiers pour équilibrer la charge du site Web. Si un des serveurs n'est pas disponible, ISA Server 2006 le détecte et oriente les utilisateurs vers les serveurs disponibles. ISA Server 2006 vérifie régulièrement le fonctionnement des serveurs appartenant à la batterie de serveurs. Les propriétés de la batterie de serveurs concernent les éléments suivants :

  • Serveurs de la batterie de serveurs

  • Méthode de vérification de la connectivité utilisée par ISA Server pour vérifier le fonctionnement des serveurs

Remarques à propos de la batterie de serveurs :

  • Un second serveur frontal Exchange nommé owa02.corp.contoso.com est disponible.

  • Les deux serveurs possèdent un certificat avec le FQDN suivant : owa.corp.contoso.com.

Vous devez suivre la procédure suivante pour créer une batterie de serveurs.

Création d'une batterie de serveurs
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, cliquez sur Nouveau et sélectionnez Batterie de serveurs. Suivez les instructions de l'assistant pour créer la batterie de serveurs comme indiqué dans le tableau suivant.

Page

Champ ou propriété

Configuration

Bienvenue

Nom de la batterie de serveurs

Tapez Exchange OWA.

Serveurs

Serveurs

Sélectionnez Ajouter et entrez les adresses IP ou les noms des serveurs :

owa01.corp.contoso.com

owa02,.corp.contoso.com

Surveillance de la connectivité

Appliquez cette méthode

Sélectionnez Envoyez une demande HTTP/HTTPS de type GET à l'URL suivante.

Fin de l'Assistant Nouvelle batterie de serveurs

Vérifiez les paramètres

Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant.

  1. Lorsque l'assistant est terminé, cliquez sur Oui au niveau de la boîte de dialogue Activer la vérification de la connectivité HTTP.

  2. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Pour plus d'informations à propos des vérificateurs de connectivité, consultez les rubriques d'aide relatives au produit.

Création d'un port d'écoute Web

Lorsque vous créez une règle de publication Web, vous devez spécifier un port d'écoute Web. Les propriétés du port d'écoute Web concernent les éléments suivants :

  • Les adresses IP et les ports des réseaux spécifiés qui vont écouter les demandes Web (HTTP ou HTTPS)

  • Les certificats de serveur associés aux adresses IP

  • Les méthodes d'authentification

  • Le nombre de connexions concurrentes autorisé

  • Les paramètres d'authentification unique

Utilisez les informations du tableau que vous avez rempli précédemment et suivez la procédure suivante pour créer un port d'écoute Web.

Création d'un port d'écoute Web
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, cliquez sur Nouveau et sélectionnez Port d'écoute. Suivez les instructions de l'assistant pour créer le port d'écoute comme indiqué dans le tableau suivant.

Page

Champ ou propriété

Configuration

Bienvenue

Nom du port d'écoute Web

Tapez FBA.

Sécurité de la connexion cliente

Type de connexion, SSL ou non-SSL

Sélectionnez Connexions SSL sécurisées obligatoires avec les clients.

Adresses IP des ports d'écoute Web

Écoute des demandes Web entrantes des réseaux

ISA Server compresse le contenu

Sélectionnez les adresses IP

Sélectionnez le réseau Externe.

Case à cocher activée (par défaut).

Consultez la page Sélection de l'IP du port d'écoute du réseau externe.

Sélection de l'IP du port d'écoute du réseau externe

Écoute des demandes sur

les adresses IP disponibles

Sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur ISA Server qui sont dans le réseau sélectionné.

Sélectionnez 172.16.0.104 et cliquez sur Ajouter.

Certificats des ports d'écoute SSL

Un port d'écoute Web peut utiliser un seul certificat pour toutes ses adresses IP ou un certificat différent pour chaque adresse IP.

Sélectionnez Attribuez un certificat pour chaque adresse IP.

Sélectionnez l'adresse IP 172.16.0.104 et cliquez sur Sélectionner un certificat.

Sélectionner un certificat

Sélectionnez un certificat

Sélectionnez le certificat délivré à mail.contoso.com et cliquez sur Sélectionner. Le certificat doit être installé avant d'exécuter l'assistant.

Paramètres d'authentification

Spécifiez comment les clients s'identifient auprès de ISA Server

Sélectionnez la méthode de validation de l'identification client de ISA Server

Sélectionnez Authentification des formulaires HTML.

Sélectionnez LDAP (Active Directory).

La méthode de validation de l'authentification spécifiée au niveau du port d'écoute Web doit être cohérente avec les paramètres utilisateur de la règle de publication utilisant le port d'écoute. Par exemple, dans le scénario présenté dans ce document, le port d'écoute utilise la validation LDAP et la règle de publication est configurée avec les utilisateurs et les groupes de l'espace de noms LDAP.

Paramètres d'authentification unique

Activez l'authentification unique pour les sites Web publiés avec ce port d'écoute

Nom de domaine de l'authentification unique

Désactivez la case à cocher. L'authentification unique sera activée plus tard dans la solution.

Laissez ce champ vide.

Fin de l'Assistant Nouveau port d'écoute Web

Revoir les paramètres

Cliquez sur Précédent pour apporter des modifications et sur Terminer pour fermer l'assistant.

Création d'une règle de publication d'accès client Web Exchange

Lorsque vous publiez un serveur Web interne sur ISA Server 2006, vous protégez le serveur Web des accès directs externes car l'utilisateur n'a pas accès au nom et à l'adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server 2006 qui transmet la demande au serveur Web interne en fonction de la règle de publication de votre serveur Web. Une règle de publication d'accès client Web Exchange est une règle de publication Web qui contient des paramètres par défaut en fonction de l'accès client Web Exchange.

Utilisez les informations du tableau que vous avez rempli précédemment et suivez la procédure suivante pour créer une règle de publication d'accès client Web Exchange.

Création d'une règle de publication d'accès client Web Exchange
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Tâches, cliquez sur Publier des sites SharePoint. Suivez les instructions de l'assistant pour créer la règle comme indiqué dans les tableaux suivants.

Pour un seul serveur Web, utilisez le tableau Assistant Nouvelle règle de publication Exchange pour un seul site.

Assistant Nouvelle règle de publication Exchange pour un seul site

Page

Champ ou propriété

Configuration

Bienvenue

Nom de la règle de publication Exchange

Tapez Publication OWA Exchange.

Sélection des services

Version d'Exchange

Services Web des courriers client

Sélectionnez Exchange Server 2003.

Sélectionnez Outlook Web Access et Outlook RPC/HTTP(s).

Type de publication

Sélectionnez le type de publication

Sélectionnez Publier un seul site Web ou un équilibreur de charge.

Sécurité de la connectivité au serveur

Choisissez le type de connexions que ISA Server va établir avec le serveur Web ou la batterie de serveurs publié.

Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs.

Informations de publication interne

Nom de site local

Tapez owa01.corp.contoso.com.

important  Important :

Le nom de site local doit correspondre au nom du certificat du serveur installé sur le serveur Web interne.

note  Remarque :

Si vous ne parvenez pas à résoudre le nom de site local, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et tapez ensuite l'adresse IP ou le nom requis qui peut être résolu par l'ordinateur ISA Server.

Informations sur les noms publics

Accepter les demandes pour

Noms publics

Ce nom de domaine (tapez ci-dessous)

Tapez mail.contoso.com.

Sélection du port d'écoute Web

Port d'écoute Web

Sélectionnez FBA.

Délégation de l'authentification

Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés

Sélectionnez Authentification de base.

Ensembles d'utilisateurs

Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants

Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer.

Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer.

L'ensemble d'utilisateurs sélectionné dans la règle doit être cohérent avec la méthode de validation de l'authentification spécifiée au niveau du port d'écoute. Par exemple, dans le scénario présenté dans ce document, le port d'écoute utilise la validation LDAP et la règle de publication est configurée avec les utilisateurs et les groupes de l'espace de noms LDAP.

Fin de l'Assistant Nouvelle règle de publication Exchange

Revoir les paramètres

Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant.

  1. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Consultez Pontage SSL.

Assistant Nouvelle règle de publication Exchange pour une batterie de serveurs

Page

Champ ou propriété

Configuration

Bienvenue

Nom de la règle de publication Exchange

Tapez Publication OWA Exchange.

Sélection des services

Version d'Exchange

Services Web des courriers client

Sélectionnez Exchange Server 2003.

Sélectionnez Outlook Web Access et Outlook RPC/HTTP(s).

Type de publication

Sélectionnez le type de publication

Sélectionnez Publier une batterie de serveurs Web à équilibrage de charge.

Sécurité de la connectivité au serveur

Choisissez le type de connexions que ISA Server va établir avec le serveur Web ou la batterie de serveurs publié.

Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs.

note  Remarque :

Un certificat serveur doit être installé au niveau des serveurs Web publiés et le certificat d'autorité de certification racine doit être installé au niveau de l'ordinateur ISA Server.

Informations de publication interne

Nom de site local

Tapez owa.corp.contoso.com.

important  Important :

Le nom de site local doit correspondre au nom du certificat du serveur installé sur les serveurs Web internes.

Remarque   Si vous ne parvenez pas à résoudre le nom de site local, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et tapez ensuite l'adresse IP ou le nom requis qui peut être résolu par l'ordinateur ISA Server.

Spécification de la batterie de serveurs

Sélectionnez la batterie de courrier Web que vous voulez publier

Sélectionnez Exchange OWA.

Informations sur les noms publics

Accepter les demandes pour

Noms publics

Ce nom de domaine (tapez ci-dessous)

Tapez mail.contoso.com.

Sélection du port d'écoute Web

Port d'écoute Web

Sélectionnez FBA.

Délégation de l'authentification

Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés

Sélectionnez Authentification de base.

Ensembles d'utilisateurs

Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants

Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer.

Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer.

Fin de l'Assistant Nouvelle règle de publication Exchange

Revoir les paramètres

Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant.

  1. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Pontage SSL

Le pontage SSL est utilisé quand ISA Server termine ou démarre une connexion SSL. Dans ISA Server 2006, le pontage SSL est automatiquement configuré lorsque le port d'écoute Web spécifié est configuré pour écouter le trafic HTTPS.

Le pontage SSL fonctionne de façon plus spécifique dans les scénarios suivants :

  • Un client effectue une demande pour un objet SSL. ISA Server décrypte la demande, la crypte à nouveau et la transmet au serveur Web. Le serveur Web renvoie l'objet crypté vers ISA Server. ISA Server décrypte l'objet, le crypte à nouveau et l'envoie au client. Les demandes SSL sont transmises en tant que demandes SSL.

  • Un client effectue une demande pour un objet SSL. ISA Server décrypte la demande et la transmet au serveur Web. Le serveur Web renvoie l'objet HTTP vers ISA Server. ISA Server crypte l'objet et l'envoie au client. Les demandes SSL sont transmises en tant que demandes HTTP.

Pour les demandes Web entrantes, un client externe utilise le protocole HTTPS pour faire une demande d'objet sur un serveur Web de votre réseau local. Le client se connecte à ISA Server sur un port, par défaut le port 443.

Après avoir reçu la demande du client, ISA Server la décrypte et arrête la connexion SSL. Les règles de publication Web déterminent comment ISA Server transmet la demande concernant l'objet au serveur Web effectuant la publication (FTP, HTTP ou SSL).

Si la règle de publication Web sécurisée est configurée pour transmettre la demande via le protocole HTTPS, ISA Server démarre une nouvelle connexion SSL avec le serveur de publication en envoyant une demande sur le port 443. Le serveur de publication Web doit répondre avec un certificat du côté serveur car l'ordinateur ISA Server est désormais un client SSL.

Test de la règle de publication Exchange

Dans cette section, vous allez tester la nouvelle règle de publication Exchange que vous venez de créer.

Test de Outlook Web Access

À partir de l'ordinateur router01 ou client01, suivez la procédure suivante pour tester la nouvelle règle de publication d'accès client Web Exchange.

Remarque   Vérifiez que vous disposez de l'autorité de certification racine de l'autorité de certification émettrice du certificat mail.contoso.com installé.

Test de la règle de publication de Outlook Web Access.  


  1. Vous pouvez désormais lire et envoyer des courriers électroniques.

Test de RPC sur HTTP

Cette procédure doit être effectuée à partir de l'ordinateur client01.

note  Remarque :

Nous vous recommandons de configurer Outlook sans RPC sur HTTP. Vérifiez que Outlook fonctionne correctement sur le réseau interne avant de configurer RPC sur HTTP.

Pour tester RPC sur HTTP à partir d'Outlook 2003 sur l'ordinateur client01 du réseau Test_Internet.  


note  Remarque :

Pour que RPC sur HTTP fonctionne, que l'utilisateur soit absent ou non de son bureau, le nom de domaine complet mail.contoso.com doit correspondre à l'adresse externe lorsque les utilisateur se trouvent au bureau et lorsqu'ils sont connectés à Internet.

Publication de sites SharePoint

ISA Server 2006 travaille en parallèle avec Windows SharePoint Services et SharePoint Portal Server 2003 afin d'optimiser la sécurité.

En utilisant les fonctionnalités de collaboration combinées de Windows SharePoint Services et de SharePoint Portal Server 2003, les utilisateurs de votre entreprise peuvent facilement créer, gérer et générer leurs propres sites Web de collaboration et les mettre à disposition dans toute l'entreprise.

Lorsque vous publiez des sites portail SharePoint sur Internet, vous permettez aux employés absents de leur bureau d'accéder aux informations nécessaires à l'exécution de leurs travaux, où qu'ils soient, sans compromettre la sécurité.

Lorsque vous publiez un site SharePoint sur ISA Server, les utilisateurs ne peuvent pas accéder directement au site SharePoint en externe car le nom et l'adresse IP du site SharePoint ne sont pas accessibles à l'utilisateur. L'utilisateur accède à l'ordinateur ISA Server, qui transmet ensuite la requête au site SharePoint publié selon les conditions de votre règle de publication SharePoint.

Lorsque vous publiez un site SharePoint, ISA Server vous permet de configurer une authentification basée sur les formulaires, d'appliquer une méthode d'authentification requise, d'activer une authentification à deux facteurs, de vérifier la disponibilité des pièces jointes et la journalisation centralisée.

Avant de commencer

Les hypothèses de scénario sont vérifiées dans cette section. Plusieurs tableaux sont fournis pour information afin de rassembler les informations nécessaires à l'utilisation de l'Assistant Règle de publication SharePoint.

Hypothèses de scénario

Les hypothèses suivantes s'appliquent à cette procédure :

  • SharePoint Portal Server 2003 avec SP2 est installé et configuré sur sps01 ;

  • le mappage des accès de substitution SharePoint est correctement configuré sur sps01. Pour plus d'informations sur le mappage des accès de substitution, reportez-vous à l'Annexe C : Mappage des accès de substitution.

  • Vous avez créé un portail contenant un lien pointant vers https://owa01.corp.contoso.com/exchange. La fonctionnalité de transition de liaison ISA Server traduira le lien en https://mail.contoso.com/exchange. Pour plus d'informations sur la transition de liaison, consultez la section « Link Translation Concepts in ISA Server 2006 » (Concepts de la transition de liaison dans ISA Server 2006, en anglais) sur le site de Microsoft TechNet ;

  • L'ordinateur sps01 dispose d'un certificat SSL installé à partir de dc01 et porte le nom commun de sps01.corp.contoso.com. L'URL interne est https://sps01.corp.contoso.com ;

  • Le certificat de l'autorité de certification racine de dc01 est installé sur l'ordinateur isa01. ISA Server doit nécessairement accepter la validité du certificat sur sps01 ;

  • Le nom commun externe (nom de domaine pleinement qualifié) est portal.contoso.com ;

  • Un certificat SSL est installé à partir de router01 sur l'ordinateur isa01 et porte le nom commun de portal.contoso.com ;

  • ISA Server répond aux demandes de portal.contoso.com sur l'adresse IP 172.16.0.103.

Tableau informatif

Vous devez avoir pris connaissance des informations suivantes avant d'exécuter l'Assistant Règle de publication SharePoint.

Propriété

Valeur

Nom de la règle de publication SharePoint

Nom : ________________________

Type de publication

__Publiez un seul site Web.

Ou

__Publiez une batterie de serveurs d'équilibrage de la charge.

et

Nom de la batterie de serveurs :_____________

Sécurité de la connexion au serveur

Méthode de connexion d'ISA Server au serveur Web publié

HTTPS ou HTTP (entourez une des propositions)

Si le protocole HTTPS est sélectionné, il est nécessaire d'installer un certificat serveur au niveau du serveur Web.

Informations de publication interne

Nom de site Web local (FQDN) : ______________________

Si ISA Server ne parvient pas à résoudre le nom de domaine pleinement qualifié :

Nom de l'ordinateur ou adresse IP :_____________________

Informations sur les noms publics

Accepter les demandes pour :

__Ce nom de domaine :______________

Ou

__N'importe quel nom de domaine

Sélection du port d'écoute Web

Port d'écoute Web :________________

Mappage des accès de substitution

Pour plus d'informations sur la configuration du mappage des accès de substitution, voir l'Annexe C : Mappage des accès de substitution.

Le mappage des accès de substitution a t-il été configuré sur l'ordinateur SharePoint Portal Server ?

Oui ou non (entourez une des propositions)

Ensemble d'utilisateurs

Dresser la liste des ensembles d'utilisateurs qui auront accès à cette règle :

_________________

__________________

Procédure

Les ordinateurs suivants sont nécessaires pour accomplir la procédure :

  • dc01

  • storage01 (Édition Entreprise)

  • isa01

  • sps01

  • router01

Les sections suivantes présentent comment configurer la solution :

Modification du port d'écoute Web

Publication d'un site SharePoint

Test de la publication SharePoint

Modification du port d'écoute Web

Vous devez modifier le port d'écoute Web, créé dans la section Création d'un port d'écoute Web, pour que l'ordinateur ISA Server reçoive les demandes sur l'adresse IP 172.16.0.103 et utilise le certificat serveur portal.contoso.com uniquement pour cette adresse IP. Le port d'écoute Web recevra ensuite les demandes client Web Exchange sur 172.16.0.104 en utilisant le certificat correspondant au nom public utilisé pour l'accès client Web Exchange ; il recevra par la suite les demandes client SharePoint sur 172.16.0.103 en utilisant le certificat correspondant au nom public utilisé pour l'accès client SharePoint.

Pour modifier le port d'écoute Web
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur FBA, puis sélectionnez Propriétés.

  3. Sélectionnez l'onglet Réseaux. Sélectionnez Externe et cliquez sur Adresse.

  4. Sélectionnez 172.16.0.103 dans la colonne Adresses IP disponibles, cliquez sur Ajouter, puis sur OK.

  5. Cliquez sur l'onglet Certificats, puis :

    1. Sélectionnez 172.16.0.103 et cliquez sur Sélectionner un certificat.

    2. Sélectionnez portal.contoso.com et cliquez sur Sélectionner.

  6. Cliquez sur OK pour quitter les propriétés du port d'écoute Web FBA.

Publication d'un site SharePoint

À l'aide des informations du tableau que vous avez rempli précédemment, exécutez la procédure suivante pour publier un site SharePoint.

Pour publier un site SharePoint
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Tâches, cliquez sur Publier des sites SharePoint. Aidez-vous de l'assistant pour créer une règle comme indiqué dans le tableau suivant.

Page

Champ ou propriété

Configuration

Bienvenue

Nom de la règle de publication SharePoint

Tapez Publication SharePoint.

Type de publication

Options du type de publication

Sélectionnez Publier un seul site Web ou un équilibreur de charge.

Sécurité de la connexion au serveur

Sélectionnez le type de connexions qu'ISA Server établira avec le serveur publié ou la batterie de serveurs

Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs.

Informations de publication interne

Nom de site local

Tapez sps01.corp.contoso.com.

important  Important :

Le nom de site local doit correspondre au nom du certificat du serveur installé sur les serveurs Web internes.

Remarque   Si vous ne pouvez pas corriger le nom de site interne, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour se connecter au serveur publié, puis taper une adresse IP ou un nom pouvant être résolu par l'ordinateur ISA Server.

Informations sur les noms publics

Accepter les demandes pour

Noms publics

Ce nom de domaine (tapez ci-dessous)

Tapez portal.contoso.com.

Sélection du port d'écoute Web

Port d'écoute Web

Sélectionnez FBA.

Délégation de l'authentification

Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés

Sélectionnez Authentification NTLM.

Configuration du mappage des accès de substitution

Pour une intégration et une fonctionnalité totale, vous devez configurer le mappage des accès de substitution sur le site SharePoint publié.

Sélectionnez Le mappage des accès de substitution est déjà configuré sur le serveur SharePoint.

Ensembles d'utilisateurs

Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants

Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer.

Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer.

Fin de l'Assistant Nouvelle règle de publication SharePoint

Revoir les paramètres

Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant.

  1. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

note  Remarque :

Si le site SharePoint ne contient pas d'informations confidentielles, vous pouvez choisir Utiliser une connexion non sécurisée pour la connexion au serveur Web publié ou à la batterie de serveurs sur la page Sécurité de la connexion au serveur. Dans ce cas, la connexion de l'utilisateur à ISA Server est établie via HTTPS. La connexion d'ISA Server au serveur interne publié est établie via HTTP.

Test de la publication SharePoint

Sur l'ordinateur router01 ou client01, exécutez la procédure suivante afin de tester la nouvelle règle de publication SharePoint.

note  Remarque :

Assurez-vous que vous disposez du certificat de l'autorité de certification émettrice racine du certificat portal.contoso.com installé.

Pour tester la publication SharePoint
  1. Ouvrez Internet Explorer.

  2. Accédez à l'URL suivante : https://portal.contoso.com. Utilisez les informations suivantes pour vous connecter :

    1. Nom de domaine/d'utilisateur : corp\mberg

    2. Mot de passe : Passw0rd

Vous devriez avoir accès au portail à présent.

  1. Dans la partie droite, sélectionnez Accès à Outlook Web Access en externe sous Liens utilisateur.

  2. Une nouvelle page d'ouverture de session ISA Server s'affiche, vous pouvez ainsi ouvrir le site Outlook Web Access publié créé précédemment.

Cette opération n'est pas idéale car les utilisateurs doivent se connecter plusieurs fois en utilisant les mêmes informations d'identification. Cela peut porter à confusion et se traduire par des appels inutiles du support. Cela augmente également le temps d'exécution d'une tâche. Lorsqu'un utilisateur est sous pression pour, par exemple, essayer de ne pas manquer son vol, il est possible qu'il ne soit pas en mesure d'exécuter sa tâche. C'est la raison pour laquelle vous pouvez configurer l'authentification unique, comme décrit dans la rubrique suivante.

Sécurisation de l'authentification unique entre une publication Web et une publication Outlook Web Access

Lorsque les utilisateurs accèdent à deux sites Web différents, tels qu'un site Outlook Web Access et un site SharePoint, ils ne devraient pas avoir à fournir de nouveau les mêmes informations d'identification lorsqu'ils cliquent sur un lien pour ouvrir un autre site.

La fonctionnalité d'authentification unique d'ISA Server 2006 réutilise les informations d'identification d'un utilisateur sur un autre serveur publié, ce qui évite de saisir ses informations d'identification pour la deuxième ou la troisième fois. Cette procédure optimise l'expérience utilisateur car ce dernier clique sur un lien qui ouvre une autre application Web sans avoir à fournir ses informations d'identification.

Les hypothèses sont les suivantes :

  • Outlook Web Access est publié avec succès ;

  • SharePoint Portal Server est publié avec succès.

Les ordinateurs suivants sont requis :

  • dc01

  • storage01 (Édition Entreprise)

  • isa01

  • sps01

  • exchange01

  • owa01

  • router01

Les sections suivantes présentent comment configurer la solution :

Modification d'un port d'écoute Web pour activer l'authentification unique

Test de l'authentification unique entre SharePoint Portal Server et Outlook Web Access

Modification d'un port d'écoute Web pour activer l'authentification unique
Pour modifier un port d'écoute Web afin d'activer l'authentification unique
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis ISA01 et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux, et main, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur FBA, puis sélectionnez Propriétés.

  3. Cliquez sur l'onglet SSO. Sélectionnez Activer l'authentification unique. (Cette option est généralement activée par défaut. Désactivez l'authentification unique lorsque vous avez créé le port d'écoute Web dans la section Création d'un port d'écoute Web.)

  4. Cliquez sur Ajouter pour spécifier les domaines d'authentification unique du port d'écoute Web.

  5. Entrez .contoso.com et cliquez sur OK.

  6. Cliquez sur OK pour fermer la boîte de dialogue Propriétés FBA.

  7. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

important  Important :

Lors de l'activation de l'authentification unique, assurez-vous de fournir un domaine d'authentification unique spécifique. La définition d'un domaine générique, tel que .co.uk, autorisera le navigateur Web à envoyer les cookies d'authentification unique ISA Server sur n'importe quel site Web de ce domaine, posant un risque en termes de sécurité.

Remarque :

  • L'authentification unique n'est pas prise en charge entre les différents ports d'écoute Web.

  • Les serveurs publiés doivent porter le même suffixe DNS. Par exemple, vous pouvez configurer l'authentification unique lors de la publication de mail.contoso.com et de portal.contoso.com, ce que vous ne pouvez pas faire pour mail.fabrikam.com et portal.contoso.com.

Test de l'authentification unique entre SharePoint Portal Server et Outlook Web Access

Sur l'ordinateur router01 ou client01, exécutez la procédure suivante afin de tester la nouvelle règle de publication SharePoint.

Pour tester l'authentification unique entre SharePoint Portal Server et Outlook Web Access
  1. Ouvrez Internet Explorer.

  2. Reportez-vous à l'adresse URL suivante : https://portal.contoso.com. Utilisez les informations suivantes pour vous connecter :

    1. Nom de domaine/d'utilisateur : corp\mberg

    2. Mot de passe : Passw0rd

  1. Dans la partie droite, sélectionnez Accès à Outlook Web Access en externe sous Liens utilisateur.

  2. La page Outlook Web Access utilisateur s'ouvrira automatiquement.

  3. Déconnectez-vous de la page Outlook Web Access.

  4. Vous pouvez vous connecter à https://mail.contoso.com/exchange, ouvrir un message électronique appelé Nouveau portail externe, puis cliquer sur le lien du message électronique pour ouvrir le site portail SharePoint.

Annexe A : Fonctions supplémentaires de publication

Cette section présente les fonctionnalités supplémentaires suivantes, que vous pouvez configurer pour faciliter vos déploiements :

  • Redirection de HTTP vers HTTPS

  • Gestion des mots de passe

Redirection de HTTP vers HTTPS

Lors de la publication d'un site Web, il est recommandé que les utilisateurs établissent une connexion HTTPS entre leur ordinateur et l'ordinateur ISA Server afin de protéger les informations sensibles en cours de transfert vers Internet. Les utilisateurs doivent entrer une URL telle que https://portal.contoso.com. Si l'utilisateur entre uniquement portal.contoso.com, il recevra le message d'erreur suivant.

Les utilisateurs ont tendance à ne pas entrer la partie HTTPS de l'URL même lorsqu'ils souhaitent accéder à un site Web sécurisé. Ce comportement s'est vu conforté par les administrateurs Web qui ont adapté leurs sites Web de sorte à rediriger les utilisateurs vers une page HTTPS, même en entrant HTTP. Ainsi, le support technique est beaucoup moins sollicité par les utilisateurs qui n'arrivent pas à ouvrir l'URL souhaitée.

Pour permettre la redirection HTTP vers HTTPS, exécutez la procédure suivante.

Pour permettre la redirection HTTP vers HTTPS
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis Nom du serveur et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux et Nom du groupe, puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur le port d'écoute Web, puis sélectionnez Propriétés.

  3. Sélectionnez l'onglet Connexions.

  4. Sélectionnez Activer les connexions HTTP sur le port et vérifiez que le port d'écoute pour HTTP est 80.

  5. Vérifiez que Activer les connexions SSL (HTTPS) sur le port est sélectionné et que le port d'écoute est 443.

  6. Sélectionnez Rediriger tout le trafic de HTTP vers HTTPS.

  1. Cliquez sur OK pour quitter les propriétés du port d'écoute Web.

  2. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Gestion des mots de passe

Une stratégie de sécurité judicieuse consisterait à demander à vos utilisateurs de modifier leurs mots de passe régulièrement. Les utilisateurs souvent absents de leurs bureaux ont besoin d'une méthode permettant de modifier leurs mots de passe lorsqu'ils sont absents de leurs bureaux.

Lors de l'utilisation d'une authentification basée sur les formulaires, vous pouvez informer les utilisateurs que leurs mots de passe vont expirer dans un nombre de jours donné et vous pouvez leur permettre de changer leurs mots de passe pour qu'ils n'expirent pas. Les utilisateurs pourront également changer un mot de passe expiré.

Pour configurer l'option Modifier le mot de passe lors de l'utilisation de l'authentification LDAP, LDAP doit être configuré à l'aide des paramètres suivants :

  • La connexion aux serveurs LDAP doivent doit être établie via une connexion sécurisée. Par conséquent, un certificat SSL doit être installé sur le serveur Active Directory. Pour plus d'informations sur la connexion LDAP via SSL, consultez la section « Méthode de connexion LDAP via SSL à l'aide d'une autorité de certification tierce » (en anglais) sur le site Microsoft Support ;

  • L'ordinateur ISA Server doit disposer du certificat racine de l'autorité de certification ayant émis le certificat SSL installé sur les serveurs Active Directory ;

  • La connexion aux serveurs LDAP ne peut pas être établie via un catalogue global ;

  • Un nom d'utilisateur et son mot de passe utilisés pour vérifier l'état du compte utilisateur et pour changer de mot de passe sont nécessaires.

Pour activer la fonctionnalité de modification du mot de passe pour une authentification basée sur les formulaires
  1. Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :

    • Pour ISA Server 2006 Édition Standard, développez Microsoft Internet Security and Acceleration Server 2006, puis Nom du serveur et cliquez ensuite sur Stratégie de pare-feu.

    • Pour ISA Server 2006 Édition Entreprise, développez Microsoft Internet Security and Acceleration Server 2006, Tableaux et Nom du groupe , puis cliquez sur Stratégie de pare-feu.

  2. Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur le port d'écoute Web, puis sélectionnez Propriétés.

  3. Sélectionnez l'onglet Formulaires.

  4. Sélectionnez Autoriser les utilisateurs à modifier leur mot de passe et Rappeler aux utilisateurs que leur mot de passe expirera dans ce nombre de jours. Le nombre de jours par défaut est 15.

  1. Cliquez sur OK pour quitter les propriétés du port d'écoute Web.

  2. Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration.

Les utilisateurs verront à présent s'afficher l'écran de connexion suivant. Remarquez la présence de l'option Je souhaite changer de mot de passe après m'être connecté.

Annexe B : Configuration LDAP

ISA Server 2006 permet d'authentifier les utilisateurs via LDAP sur les ordinateurs s'exécutant sous Windows Server 2003 ou Windows 2000 Server. Actuellement, ISA Server ne prend pas en charge d'autres serveurs LDAP.

L'authentification LDAP permet à l'ordinateur ISA Server de rester dans un groupe de travail. ISA Server authentifie les utilisateurs dans Active Directory à l'aide d'une méthode d'authentification identique à la méthode utilisée lorsque l'ordinateur ISA Server est un membre de domaine.

Les utilisateurs peuvent s'authentifier via LDAP à l'aide des éléments suivants, affichés sous forme d'expressions de connexion dans Gestion ISA Server :

  • Nom de compte du gestionnaire de comptes de service (SAM, Security Accounts Manager) (domaine\nom_utilisateur),

  • Nom de l'utilisateur principal (UPN, User principal name) (nom_utilisateur@domaine.com).

ISA Server peut se connecter à un serveur LDAP de différents façons comme indiqué dans le tableau suivant.

Connexion

Port

Nécessite un nom de domaine Active Directory

Prend en charge l'option Modifier le mot de passe

LDAP

389

Oui

Non

LDAPS

636

Oui

Oui

LDAP à l'aide d'un catalogue global

3268

Non

Non

LDAPS à l'aide d'un catalogue global

3269

Non

Non

note  Remarque :

Pour utiliser LDAPS ou LDAPS à l'aide d'un catalogue global, un certificat serveur doit être installé sur le serveur LDAP et le certificat racine émis par l'autorité de certification doit être installé sur l'ordinateur ISA Server.

Propriétés des serveurs LDAP d'ISA Server

Pour configurer correctement l'authentification LDAP, vous devez configurer un ensemble de serveurs LDAP et au moins une expression de connexion.

Ensemble de serveurs LDAP

Un ensemble de serveurs LDAP est un regroupement de serveurs LDAP utilisé par ISA Server pour effectuer une authentification utilisateur. Tous les serveurs d'un ensemble de serveurs LDAP partagent les mêmes paramètres de connexion LDAP.

Le tableau suivant répertorie les propriétés d'un ensemble de serveurs LDAP.

Élément

Description

Commentaire

Ensemble de serveurs LDAP

Liste des serveurs LDAP disponibles pour l'authentification utilisateur LDAP. Tous les serveurs répertoriés partagent les mêmes paramètres de connexion LDAP.

Requis.

Serveurs LDAP

Liste des serveurs LDAP disponibles pour l'authentification utilisateur LDAP.

Remarque :

  • Lorsque plusieurs serveurs co-existent, les serveurs sont interrogés dans l'ordre dans lequel ils sont répertoriés. Si un serveur ne répond pas, il sera en période d'expiration pendant 1 minute. Si le même serveur ne répond pas de nouveau après la minute d'expiration, la période d'expiration sera multipliée par deux jusqu'à atteindre 32 minutes. À ce stade, la période d'expiration reste sur 32 minutes. Lorsque ISA Server se connecte au serveur, le compteur d'expiration est réinitialisé.
  • Il est recommandé de configurer plusieurs serveurs LDAP pour assurer la redondance de l'authentification utilisateur.

Au moins un serveur est nécessaire.

Domaine Active Directory

Entrez le nom du domaine sur lequel les comptes utilisateur sont définis.

Le nom du domaine peut utiliser l'un des formats suivants :

  • Nom de domaine pleinement qualifié : corp.contoso.com
  • Nom distinct : DC=corp,DC=contoso,DC=com

Facultatif si Utiliser le catalogue global n'a pas été sélectionné.

Utilisez le catalogue global

Si vos serveurs LDAP sont également configurés en tant que serveurs de catalogue global, sélectionnez l'option Utiliser le catalogue global et vous n'aurez pas besoin de spécifier un nom de domaine Active Directory.

Pour utiliser l'option Modifier le mot de passe, cette option ne doit pas être sélectionnée.

Facultatif.

Remarque   La fonctionnalité Gestion des mots de passe ne fonctionne pas lorsqu'un ensemble de serveurs LDAP est configuré avec cette propriété.

Connectez les serveurs LDAP au niveau d'une connexion sécurisée

Sélectionnez l'option Connecter les serveurs LDAP via une connexion sécurisée si vous voulez que la connexion entre l'ordinateur ISA Server et le serveur LDAP soit cryptée via SSL.

Pour plus d'informations sur la connexion LDAP via SSL, consultez la section « Méthode de connexion LDAP via SSL à l'aide d'une autorité de certification tierce » (en anglais) sur le site Microsoft Support ;

Facultatif.

note  Remarque :

Pour utiliser l'option Modifier le mot de passe, cette option doit être sélectionnée.

Nom d'utilisateur et mot de passe

Cette option est uniquement nécessaire si vous souhaitez utiliser l'option Gestion des mots de passe avec une authentification basée sur les formulaires.

Étant donné que l'ordinateur ISA Server ne sera pas membre du domaine, vous devez spécifier un nom d'utilisateur et un mot de passe qui seront utilisés pour vérifier l'état du compte utilisateur. Ce compte peut être n'importe quel compte de domaine, même un compte utilisateur restrictif. Ce compte est utilisé par ISA Server pour se connecter au serveur LDAP et interroger les propriétés de l'utilisateur qui se connecte. Ce compte n'est pas affecté lorsque le mot de passe utilisateur est modifié.

Facultatif.

Expression de connexion

Une expression de connexion correspond aux informations d'identification saisies par l'utilisateur avec l'ensemble de serveurs LDAP correct. Vous avez besoin au moins d'une expression de connexion pour chaque ensemble de serveurs LDAP pour que l'authentification ait lieu.

Un ensemble de serveurs LDAP peut se voir attribuer plusieurs expressions de connexion. Cependant, une expression de connexion peut uniquement être attribuée à un ensemble de serveurs LDAP.

Exemples d'expressions de connexion :

corp\*

*@corp.contoso.com

Si un utilisateur s'est identifié au format mberg@contoso.com et l'expression de connexion *@contoso.com n'a pas été tapée, la tentative d'ouverture de session échoue.

Avant de commencer

Mettez à jour le tableau suivant avec les informations sur l'ensemble de serveurs LDAP et les expressions de connexion.

Élément

Valeur

Ensemble de serveurs LDAP

Nom : _________________

Nom du serveur :

Nom : ___________________

Ou

Adresse IP : ___.___.___.___

Nom de domaine Active Directory

FQDN ou nom unique :

_____________________________

Utilisez le catalogue global

Oui ou non (entourez une des propositions)

Connectez les serveurs LDAP au niveau d'une connexion sécurisée

Oui ou non (entourez une des propositions)

Remarque   Si vous avez sélectionné une connexion sécurisée, vérifiez que les certificats valides ont été installés.

Nom d'utilisateur et mot de passe

Nom d'utilisateur : ______________

Mot de passe : ________________

Expression de connexion

__________________

Par exemple : corp\*

Pour créer un ensemble de serveurs LDAP, reportez-vous à Création d'un ensemble de serveurs LDAP.

note  Remarque :

Utilisez LDP.exe pour tester la connectivité entre l'ordinateur ISA Server et le serveur LDAP. LDP.exe est installé par défaut dans le répertoire suivant : %PROGRAMFILES%\Support Tools

Annexe C : Mappage des accès de substitution

Le mappage des accès de substitution est un mécanisme d'identification des méthodes d'accès aux sites portail pour les administrateurs SharePoint. Cela permet de vérifier que les URL (liens) s'affichent correctement en fonction des méthodes d'accès des utilisateurs. Remarque :

  • Les administrateurs déploient souvent des sites portail auxquels les utilisateurs peuvent accéder via différentes URL. Il est important que les fonctionnalités, notamment les résultats des recherches des sites portail et le contenu des bibliothèques de documents (basées sur le système de stockage Web), soient conformes aux URL permettant d'accéder au site portail. Les URL externes fournies aux utilisateurs doivent correspondre à leur méthode d'accès au site portail.

  • Sans les paramètres des accès de substitution, les résultats de la recherche peuvent s'afficher sans que les utilisateurs puissent y accéder. Les utilisateurs peuvent recevoir des résultats de leur recherche et ne pas pouvoir y accéder à chaque fois qu'ils accèdent au site portail via une URL différente de l'URL originale utilisée pour analyser le contenu.

Le service de recherche de SharePoint Portal Server, SharePointPSSearch, consulte les entrées des paramètres des accès de substitution lors de l'analyse d'un document. Si l'URL du document correspond à l'URL d'une entrée de mappage, elle est remplacée par l'ID de mappage de l'entrée. Lors de l'affichage des résultats, l'ID de mappage est remplacée par l'URL appropriée si l'utilisateur demande le document à partir d'un point d'accès listé dans les entrées des paramètres des accès de substitution. Si aucun mappage de substitution n'est approprié, les résultats de la recherche affichent l'URL par défaut.

Chaque entrée des paramètres des accès de substitution doit avoir une URL par défaut. Chaque entrée peut avoir des méthodes ou des zones d'accès de substitution supplémentaires pour chaque accès intranet, extranet ou personnalisé. Chaque URL doit être unique. Les mappages sont stockés dans la base de données de configuration. SharePoint Portal Server 2003 utilise l'URL par défaut pour toutes les URL demandées qui ne sont pas trouvées dans la table de mappage.

important  Important :

Pour que le mappage des accès de substitution fonctionne correctement, la règle de publication de SharePoint doit être configurée pour transmettre l'en-tête d'hôte original. La règle de publication de SharePoint est ainsi configurée par défaut lors de l'utilisation de l'Assistant Publication SharePoint.

Windows SharePoint Services

Windows SharePoint Services permet la création de sites Web par équipe pour le partage d'informations et la collaboration sur des documents. La productivité individuelle et par équipe est ainsi augmentée. Windows SharePoint Services est un composant de l'infrastructure des travailleurs de l'information Windows Server 2003 et il fournit des services dédiés au travail d'équipe et des sites à Microsoft Office System, ainsi que d'autres programmes de bureau. Il sert également de plate-forme pour le développement des applications. Incluant des ressources informatiques telles que des portails, des espaces de travail d'équipe, le courrier électronique, la détection de présence et les conférences Web, Windows SharePoint Services permet aux utilisateurs de localiser rapidement et efficacement des informations distribuées, ainsi que de se connecter et de collaborer avec les autres de manière plus productive.

Pour plus d'informations sur Windows SharePoint Services, reportez-vous au site Web de Microsoft Windows SharePoint Services (en anglais).

SharePoint Portal Server

SharePoint Portal Server (SPS 2003) permet aux entreprises de développer un portail intelligent connectant les utilisateurs et équipes à une base de connaissances. Il permet à ces personnes de profiter d'informations pertinentes à travers des processus métier qui vont les aider à travailler de manière plus efficace. SharePoint Portal Server 2003 propose aux entreprises une solution métier qui intègre les informations provenant de différents systèmes dans une seule solution via une connexion unique ainsi que des fonctionnalités d'intégration d'applications d'entreprise, avec des options de déploiement flexibles et des outils de gestion. Le portail facilite la collaboration de bout en bout en activant des fonctionnalités d'agrégation, d'organisation et de recherche portant sur les utilisateurs individuels, les équipes et les informations. Les utilisateurs peuvent trouver des informations cohérentes rapidement en appliquant la personnalisation de contenu et de la disposition du portail et en ciblant le public. Les organisations peuvent orienter les informations, les programmes et les mises à jour selon la fonction de la cible au sein de l'organisation, de l'appartenance à une équipe, de l'intérêt, de la sécurité de groupe ou de tout autre critère d'appartenance à définir.

SharePoint Portal Server 2003 utilise des sites Windows SharePoint Services pour créer des pages de portail relatives aux individus, aux informations et aux organisations. Le portail étend également les fonctionnalités des sites Windows SharePoint Services grâce à des outils d'organisation et de gestion et il permet aux équipes de publier des informations sur leurs sites pour l'ensemble de l'organisation.

Pour plus d'informations sur SharePoint Portal Server, voir la page d'accueil SharePoint Portal Server.

Configuration requise pour le mappage des accès de substitution

Pour configurer correctement des paramètres de mappage des accès de substitution, vous devez posséder les versions logicielles présentées dans le tableau ci-dessous.

Produit

Version

Windows SharePoint Services

Windows SharePoint Services, Service Pack 2

SharePoint Portal Server

SharePoint Portal Server 2003, Service Pack 2

Configuration du mappage des accès de substitution

Par exemple :

  • La configuration de mappage des accès de substitution pour Windows SharePoint Services est exécutée à partir d'une invite de commande via la commande Stsadm.exe.

  • La configuration de mappage des accès de substitution pour SharePoint Portal Server est exécutée via l'administration centrale relative au SharePoint Portal Server Web.

note  Remarque :

Si vous exécutez SharePoint Portal Server, nous vous recommandons également de configurer les paramètres de mappage des accès de substitution pour Windows SharePoint Services.

Scénario

Vous avez publié un site SharePoint via ISA Server 2006 avec l'Assistant Publication SharePoint. Les utilisateurs auront accès au site en entrant l'URL suivante : https://portal.contoso.com. ISA Server se connectera au serveur Web interne à l'aide de l'URL suivante : http://sps01. Selon les informations suivantes, vous pourrez configurer le mappage des accès de substitution pour Windows SharePoint Services et SharePoint Portal Server.

Pour ce faire, vous devez configurer la zone extranet. Une zone constitue une autre méthode d'accès au site SharePoint différente de la zone par défaut. Par exemple, un site SharePoint nommé sps01 est accessible depuis le réseau interne sous HTTP://sps01. Toutefois, si un utilisateur y accède par Internet via ISA Server, il arrive à l'adresse https://portal.contoso.com.

Configuration de Windows SharePoint Services

Exécutez les commandes Stsadm.exe. Pour ce faire, vous devez définir des paramètres entrants et sortants pour chaque méthode (zone) de mappage des accès de substitution.

Configurez le mappage des accès de substitution pour Windows SharePoint Services
  1. Pour configurer la zone sortante, exécutez la commande suivante dans une invite de commande :

    • stsadm.exe
      -o addzoneurl -urlzone extranet -zonemappedurl https://portal.contoso.com -url http://sps01
  2. Pour configurer la zone entrante, exécutez la commande suivante dans une invite de commande :

    • stsadm.exe -o addalternatedomain -urlzone extranet -incomingurl https://portal.contoso.com -url http://sps01
  3. Pour confirmer le paramètre Stsadm, exécutez la commande suivante dans une invite de commande :

    • stsadm.exe -o enumalternatedomains -url http://sps01
Configuration de SharePoint Portal Server

Pour SharePoint Portal Server, vous devez configurer la méthode (zone) de mappage des accès de substitution qui configure automatiquement les paramètres entrant et sortant.

Pour configurer le mappage des accès de substitution pour SharePoint Portal Server
  1. Cliquez sur Démarrer, pointez vers Programmes, puis vers SharePoint Portal Server, ensuite cliquez sur Administration centrale de SharePoint pour ouvrir l'application Administration centrale de SharePoint.

  2. Sur la page SharePoint Portal Server Central Administration for SPS01 (en anglais), dans la section Portal Site and Virtual Server Configuration , cliquez sur Configurer d'autres URL de site portail pour l'accès intranet, extranet et personnalisé.

  3. Sur la page Configurer d'autres paramètres d'accès au portail, pointez vers Site Web par défaut, puis cliquez sur la flèche qui apparaît.

  4. Cliquez sur Modifier dans le menu qui s'affiche.

  5. Sur la pageModifier les autres paramètres d'accès, dans le champ URL de l'extranet, entrez l'URL https://portal.contoso.com.

  6. Cliquez sur OK.

note  Remarque :

Seule la configuration du mappage des accès de substitution pour les services SharePoint Portal Server est effectuée. Si votre site utilise également des services Windows SharePoint Services, vous devez alors configurer le mappage des accès de substitution pour Windows SharePoint Services.

Annexe D : Conseils relatifs à la sécurité

Les sections suivantes mettent en évidence certains éléments de sécurité à prendre en compte lors de la publication des serveurs Web.

Éviter de publier deux sites Web partageant le même nom d'hôte

Nous vous recommandons de ne pas publier deux sites portant le même nom d'hôte. Si vous avez deux sites Web internes, http://site1 et http://site2, ne les publiez pas sous le même nom, http://external.contoso.com/site1 et http://external.contoso.com/site2.

La méthode la plus sûre consiste à publier chaque site sous un nom unique, par exemple http://site1.contoso.com et http://site2.contoso.com.

Authentification unique et poste de kiosque

Les utilisateurs doivent être formés pour se déconnecter correctement des postes de travail du kiosque. Cet aspect est particulièrement important avec des applications publiées qui ne disposent pas de bouton de déconnexion et lorsqu'une authentification unique est configurée.

Tout accès d'utilisateur sur une application publiée entraîne l'enregistrement d'un cookie sur l'ordinateur local. Si l'application ne possède pas de bouton de déconnexion et que l'utilisateur parcourt une autre page Web, puis qu'il quitte le kiosque sans se déconnecter, le cookie demeure sur l'ordinateur et reste valide. Un autre utilisateur peut utiliser ce cookie pour accéder à toute autre application publiée configurée comme authentification unique.

Les meilleures pratiques suivantes doivent être appliquées pour accéder à Internet sur des ordinateurs publics :

  • Déconnectez-vous des applications publiées, si possible.

  • Supprimez les cookies vous avez terminé d'utiliser les applications publiées.

  • Supprimez les fichiers Internet temporaires créés par Office au cours de l'utilisation de SharePoint Portal Server.

  • Ferez toutes les fenêtres de navigateur.

  • Déconnectez-vous de Windows, si possible.

note  Remarque :

Les cookies créés par ISA Server expireront au bout de 30 minutes par défaut.

Authentification unique et vol de session

Vous devez vous assurer que votre application Web est conçue pour résister aux attaques par vol de session (également connues sous le nom $$$d'attaques par publication (cross-site-posting), d'attaques par simulation de requête (CSRF, cross-site request forgeries) ou d'attaques par leurre) avant de la publier à l'aide d'ISA Server.

Annexe E : Conseils relatifs à l'administration

Cette section donne des conseils administratifs concernant la connexion RPC sur HTTP et l'authentification basées sur les formulaires dans des langues autres que l'anglais.

Connexion RPC sur HTTP

Lorsque vous publiez RPC sur HTTP, la connexion ISA Server peut présenter des entrées d'échec de la connexion, par exemple l'erreur 64 : « Le nom réseau spécifié n'est plus disponible. » (ERROR_NETNAME_DELETED). Vous pouvez ignorer ces entrées en toute sécurité qui sont une réponse à la manière dont Exchange gère la connexion RPC sur HTTP.

Authentification basée sur les formulaires dans une langue autre que l'anglais

Les paramètres de langue définis pour le navigateur de l'utilisateur déterminent la langue des formulaires utilisés par ISA Server. Ces paramètres sont automatiques et ne nécessitent aucune modification.

Authentification par certificat client

Les conditions suivantes doivent être prises en compte après la configuration de l'authentification par certificat client.

Installation de plusieurs certificats clients sur un ordinateur client

Lorsque plusieurs certificats clients sont installés sur l'ordinateur de l'utilisateur et que la méthode d'authentification client sélectionnée sur le port d'écoute Web est l'authentification de certificat client SSL, l'utilisateur doit sélectionner le certificat approprié dans la boîte de dialogue Choisir un certificat numérique lorsqu'il accède au serveur Web publié.

Authentification unique et authentification par certificat suivant

Si vous avez configuré l'authentification unique entre deux applications publiées avec différents noms d'hôte, par exemple portal.contoso.com et owa.contoso.com et que la méthode d'authentification client sélectionnée sur le port d'écoute Web est l'authentification par certificat client SSL, les utilisateurs seront invités à sélectionner leur certificat une seconde fois lors du passage du premier site Web publié au second. Les utilisateurs seront invités à saisir le code PIN la première fois qu'ils sélectionneront le certificat tant que le second serveur Web publié sera ouvert dans le même processus d'application de navigateur.

Le problème n'affecte pas les sites Web publiés qui partagent le même nom d'hôte, par exemple https://public.contoso.com/owa et https://public.contoso.com/portal.


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft