設定 Outlook Web Access 表單型驗證
發佈時間: 2009年11月
適用於: Forefront Threat Management Gateway (TMG)
設定 Outlook Web Access 表單型驗證
在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [防火牆原則] 節點。
在 [工作] 窗格中,按一下 [工具箱] 索引標籤。
在 [工具箱] 索引標籤上,按一下 [網路物件],按一下 [新增],然後選取 [網頁接聽程式] 以開啟 [新網頁接聽程式精靈]。
依下表描述的要點完成 [新網頁接聽程式精靈]。
頁面 欄位或內容 設定或動作 歡迎使用新網頁接聽程式精靈
網頁接聽程式名稱
鍵入網頁接聽程式的名稱。例如,輸入 OWA 表單型接聽程式。
用戶端連線安全性
選取 [需要與用戶端之間的 SSL 安全連線]。
網頁接聽程式 IP 位址
接聽這些網路上的連入網頁要求
選取 [外部] 網路。按一下 [選取 IP 位址],然後選取 [Forefront TMG 電腦上位於所選網路中的指定 IP 位址]。在 [可用的 IP 位址] 底下,選取網站的 IP 位址,按一下 [新增],然後按一下 [確定]。
</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>接聽程式 SSL 憑證</strong> </p> </td> <td colspan="1"> <p /> <p> </p> </td> <td colspan="2"> <p>選取 <strong>[在這個網頁接聽程式使用單一憑證]</strong>,按一下 <strong>[選取憑證]</strong>,然後選取使用者存取 <strong>[發行給]</strong> 欄位中顯示的已發行網站所用之主機名稱的憑證。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>驗證設定</strong> </p> </td> <td colspan="1"> <p> <strong>選取用戶端將認證提供給 Forefront TMG 的方式</strong> </p> </td> <td colspan="2"> <p>在下拉式清單中,選取 <strong>[HTML 表單驗證]</strong>。</p> <p>如需有關使用 HTTP 驗證 (預設選項) 或 <strong>[SSL 用戶端憑證驗證]</strong> 的指示,請參閱<a runat="server" href="cc441538(v=technet.10).md">設定 Outlook Web Access 用戶端的存取</a>。</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>在表單中收集其他委派認證</strong> </p> <p>只有在選取 <strong>[HTML 表單驗證]</strong> 時,才會顯示此核取方塊。</p> </td> <td colspan="2"> <p>只有當您要選取 <strong>[RADIUS 一次有效密碼 (RADIUS OTP)]</strong> 或 <strong>[SecurID]</strong> 時,再選取此核取方塊。</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>選取 Forefront TMG 如何驗證用戶端認證</strong> </p> </td> <td colspan="2"> <p>選擇下列其中一個選項。在工作群組部署中,您只能使用 <strong>[RADIUS]</strong>、<strong>[LDAP (Active Directory)]</strong>、<strong>[RADIUS 一次有效密碼 (RADIUS OTP)]</strong> 或 <strong>[SecurID]</strong>。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>單一登入設定</strong> </p> </td> <td colspan="1"> <p> <strong>啟用以此網頁接聽程式發行的網站單一登入 (SSO)</strong> </p> </td> <td colspan="2"> <p>若您啟用單一登入,必須按一下 <strong>[新增]</strong> 並指定將套用單一登入的網域。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>正在完成新網頁接聽程式精靈</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>檢視設定,然後按一下 <strong>[完成]</strong>。若出現訊息方塊,請按一下 <strong>[是]</strong> 以啟用系統原則規則「允許所有從 Forefront TMG 來的 HTTP 流量到所有的網路 (供 CRL 下載用)」。</p> </td> </tr> </table>
在 [工作] 窗格中,按一下 [工作] 索引標籤。
在 [工作] 索引標籤中,按一下 [發行 Exchange Web 用戶端存取] 以開啟 [新增 Exchange 發行規則精靈]。
依下表描述的要點完成 [新增 Exchange 發行規則精靈]。
頁面 欄位或內容 設定或動作 歡迎使用新增 Exchange 發行規則精靈
Exchange 發行規則名稱
鍵入 Exchange 發行規則的名稱。例如,輸入 OWA 表單型。
選取服務
Exchange 版本
選取正在您的 Exchange 伺服器上執行的 Exchange Server 版本。
網頁用戶端郵件服務
選取 [Outlook Web Access]。
發行類型
選取 [發行單一網站或負載平衡器]。其他選項和此程序無關。
伺服器連線安全性
選取 [使用 SSL 連線到發行的網頁伺服器或伺服器陣列]。此選項需要在每個 Exchange 前端伺服器上安裝 SSL 伺服器憑證,即 Forefront TMG 連線 [發行給] 欄位中顯示的 Exchange 伺服器時,所用之主機名稱的憑證。
內部發行詳細資料
內部網站名稱
輸入 Forefront TMG 在傳送給發行伺服器的 HTTP 要求訊息中將使用的主機名稱。
若此欄位中指定的內部網站名稱無法解析,且不是發行伺服器的電腦名稱或 IP 位址,請選取 [使用要連線到發行伺服器的電腦名稱或 IP 位址],並輸入發行伺服器可解析的電腦名稱或 IP 位址。
公用名稱詳細資料
為右列接受要求
選取 [這個網域名稱 (在下方鍵入)]。
公用名稱
鍵入外部使用者存取發行之 Outlook Web Access 網站將使用的公用 FQDN 或 IP 位址。
選取網頁接聽程式
網頁接聽程式
在下拉式清單中,選取您在步驟 4 建立的網頁接聽程式。然後可以按一下 [編輯] 以修改所選之網頁接聽程式的內容。
驗證委派
選取 Forefront TMG 用於驗證到發行之網頁伺服器的方法
選取 [基本驗證]。
使用者組
這個規則套用到來自下列使用者組的要求
若您要使用 Windows 認證驗證,請勿變更預設的 [所有已驗證的使用者]。若您正在使用 RADIUS 或 LDAP 驗證,您必須使用分別為 RADIUS 或 LDAP 名稱區設定的使用者組。
正在完成新增 Exchange 發行規則精靈
檢視設定,然後按一下 [完成]。
在詳細資料窗格中,按一下 [套用] 按鈕以儲存和更新設定,然後按一下 [確定]。
注意
- 透過 SSL 發行時,發行給發行網站之公用主機名稱的 SSL 伺服器憑證,必須安裝在 Forefront TMG 電腦上本機電腦的「個人」存放區。如需有關取得和安裝 SSL 伺服器憑證的詳細資訊,請參閱設定伺服器憑證以確保網頁發行安全。
- 在 [新網頁接聽程式精靈] 的 [網頁接聽程式 IP 位址] 頁面上,您也可以選取 [這個網路上預設的網路介面卡 IP 位址]。若啟用網路負載平衡,此選項會自動選取虛擬 IP 位址。否則,將會為每個網路介面卡自動選取預設的 IP 位址。
- 若您希望使用者提供 SSL 用戶端憑證,必須啟用「允許所有從 Forefront TMG 來的 HTTP 流量到所有的網路 (供 CRL 下載用)」系統原則規則。此系統原則規則允許 Forefront TMG 接收更新的憑證撤銷清單,以用於驗證用戶端憑證。
- 表單型驗證可以在 Forefront TMG 電腦或 Exchange 伺服器上啟用,但不能兩者同時啟用。此程序指的是 Forefront TMG 電腦上的表單型驗證,不是 Exchange 伺服器上的表單型驗證。
- 使用表單型驗證,會將使用者導向 HTML 表單。在使用者於表單上提供認證且這些認證通過驗證後,系統會發行包含票證的 Cookie。對於後續的要求,系統會先檢查 cookie,以查看是否已驗證過使用者,如此該使用者就不必再次提供認證。
- 若您使用 RADIUS 認證驗證,必須在 RADIUS 伺服器上將 Forefront TMG 電腦登錄為 RADIUS 用戶端,同時必須啟用 RADIUS 系統原則規則,以允許從 Forefront TMG 電腦 (本機主機網路) 至內部網路的 RADIUS 流量。此規則假設 RADIUS 伺服器位於內部網路。
- 若選取 RADIUS、LDAP 或 RADIUS 一次有效密碼 (RADIUS OTP) 認證驗證,則必須編輯您建立之網頁接聽程式的內容,以指定執行認證時將查詢的 RADIUS 或 LDAP 伺服器。
- 使用者和 Outlook Web Access 連線時,開啟的 URL 格式通常是 https://host_name/exchange。您可能需要修改使用者指定之路徑,以及您的網頁發行規則內容之 [路徑] 索引標籤上的內部路徑兩者之間的對應。
- 使用表單型驗證和基本驗證,可以將傳送至 Forefront TMG 電腦的認證委派給發行伺服器。
- 如需有關網頁發行規則中其他設定的詳細資訊,請參閱規劃發行。
- 完成此工作後,請參閱封鎖附件使其無法到達 Outlook Web Access 用戶端。
相關主題
概念