• Artykuł

Krok po kroku: Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP     Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP, cz. II

Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP, cz. I Udostępnij na: Facebook

Autor: Monika Fleszar

Opublikowano: 15 lutego 2007

Poniższy artykuł przedstawia nowy sposób uwierzytelniania, zastosowany w ISA Server 2006 – uwierzytelnianie LDAP i jego wykorzystanie w publikacji OWA.

Uwierzytelnienie LDAP jest bardzo zbliżone do uwierzytelnienia Active Directory. ISA 2006 łączy się z serwerem, który został skonfigurowany jako serwer LDAP w celu uwierzytelnienia użytkownika. Każdy z kontrolerów domeny jest jednocześnie serwerem LDAP, nie jest więc wymagana żadna dodatkowa konfiguracja kontrolerów.

Nowy sposób uwierzytelnienia pozwala na zainstalowanie ISA 2006 na serwerze wolnostojącym bez konieczności konfiguracji serwera RADIUS, jak również na uwierzytelnianie użytkowników w domenach, z którymi nie ma zestawionych relacji zaufania. Pozwala to na dostęp do skomplikowanego środowiska.

Korzystać z uwierzytelniania LDAP można niezależnie od tego, czy ISA 2006 jest członkiem domeny, czy nie. Niestety nie można tej metody wykorzystać w regułach dostępowych. Jest dostępna tylko w czasie publikacji.

ISA Server 2006 pozwala na uwierzytelnienia LDAP użytkowników w serwerach Windows Server 2003 i Windows 2000 Server; na razie nie ma wsparcia dla innych serwerów LDAP.

Użytkownicy do logowania mogą wykorzystywać:

  • SAM account name (domena\login)
  • User principal name (UPN) (login@domena)

*

Zawartość strony
Konfiguracja serwera ISA 2006 do uwierzytelniania LDAP  Konfiguracja serwera ISA 2006 do uwierzytelniania LDAP
LDAP Server Set  LDAP Server Set
Tworzenie LDAP Server Set  Tworzenie LDAP Server Set
Tworzenie LDAP User Set  Tworzenie LDAP User Set
Tworzenie Web listener  Tworzenie Web listener
Single Sign On  Single Sign On
Przeczytaj pozostałe części artykułu  Przeczytaj pozostałe części artykułu

Konfiguracja serwera ISA 2006 do uwierzytelniania LDAP

ISA Server może w różny sposób łączyć się z serwerem LDAP:

Połączenie Port Czy wymaga nazwy domeny Czy wspiera opcję zmiany hasła
LDAP 389 Tak Nie
LDAPS 636 Tak Tak
LDAP z wykorzystaniem GC 3268 Nie Nie
LDAPS z wykorzystaniem GC 3269 Nie Nie

 

Wykorzystanie LDAPS wymaga certyfikatu (Server Authentication, Domain Controller) zainstalowanego na kontrolerze domeny oraz certyfikatu głównego urzędu (root Ca) dodanego do zaufanych głównych urzędów certyfikacji na serwerze ISA.

 Do początku strony Do początku strony

LDAP Server Set

LDAP server set jest grupą serwerów LDAP, które ISA wykorzystuje do uwierzytelnienia użytkowników. Wszystkie serwery mają te same ustawienia połączenia.

Ustawienie Opis Komentarz
LDAP server set Grupa serwerów LDAP wykorzystywana do uwierzytelniania o takich samych ustawieniach połączenia. Wymagane
LDAP servers Lista serwerów LDAP Wymagany minimum jeden.
Active Directory domain

Nazwa domeny, w której znajdują się konta użytkowników. Może ona występować w jednym z formatów:

  • FQDN: cohovineyard.com
  • Distinguished name: DC=cohovineyard,DC=com
Opcjonalne - jeśli nie jest zaznaczone Use Global Catalog(GC).
Use global catalog

Jeśli serwery LDAP są także skonfigurowane jako serwery GC, można zaznaczyć Use Global Catalog (GC) - w takim przypadku nie trzeba podawać nazwy domeny.

W przypadku wyboru opcji Change Password ta opcja nie może być zaznaczona.

Opcjonalne

Uwaga: Password Management nie działa, jeśli wykorzystywana jest ta opcja.

Connect LDAP servers over secure connection Pozwala na szyfrowanie SSL połączenia między serwerem ISA a serwerem LDAP.

Opcjonalne

Uwaga: przy korzystaniu z ChangePassword ta opcja musi być wybrana.

User name and password

Ustawienie to jest potrzebne przy korzystaniu z Password Management.

Ponieważ ISA Server nie jest członkiem domeny należy podać konto i hasło, które będzie wykorzystywane do weryfikacji użytkowników. Konto musi być kontem domenowym, nie wymaga specjalnych uprawnień, jest wykorzystywane do połączenia z serwerem i odpytania o właściwości konta użytkownika, który się loguje. Nie jest wykorzystywane przy zmianie hasła.

Opcjonalne

 

 Do początku strony Do początku strony

Tworzenie LDAP Server Set

  1. W konsoli ISA Server Management należy rozwinąć nazwę serwera, następnie wybrać Configuration i General.

  2. W panelu szczegółów kliknąć Specify RADIUS and LDAP Servers, przejść na zakładkę LDAP Servers Sets. Wybrać przycisk Add.

    Rys. 1

    Rys. 1

  3. W oknie Add LDAP Server Set w polu LDAP server set name należy wprowadzić dowolną nazwę, kliknąć Add, aby dodać nazwy lub adresy IP serwerów oraz nazwę FQDN domeny.

    Rys. 2

    Rys. 2

  4. Kliknąć OK w celu zamknięcia okna Add LDAP Server Set.

  5. Na zakładce LDAP servers kliknąć New - otworzy się okno New LDAP Server Mapping, w którym należy wprowadzić Login expression oraz wybrać LDAP server set.

    Rys. 3

    Rys. 3

    Uwaga: Ldap server mapping pozwala określić gdzie należy przekierować uwierzytelnienie w zależności od domeny, do której należy konto użytkownika, np. contoso\* do serwerów grupy LDAP contoso, a nwtraders\* do LDAP nwtraders.

  6. Zamknąć okno Authentication Servers.

 Do początku strony Do początku strony

Tworzenie LDAP User Set

Aby uwierzytelniać użytkowników poprzez LDAP, trzeba wskazać, jacy użytkownicy mają być uwierzytelniani i przez jakie serwery. W tym celu tworzony jest LDAP User Set.

  1. W konsoli ISA Server Management należy wybrać Firewall Policy, a następnie Toolbox, Users i New. W oknie powitalnym wprowadzić nazwę dla grupy użytkowników.

  2. W oknie Users wybrać przycisk Add i zaznaczyć LDAP.

  3. W oknie Add LPAD Users wybrać stworzoną wcześniej grupę serwerów oraz określić grupę użytkowników. Dokończyć pracę kreatora.

    Rys. 4

    Rys. 4

 Do początku strony Do początku strony

Tworzenie Web listener

  1. W konsoli ISA Server Management należy wybrać Firewall Policy, a następnie zakładkę Toolbox, Network Objects, New i Web Listener. Pojawi się powitalne okno kreatora, w którym należy wprowadzić nazwę.

  2. W kolejnym oknie należy określić, czy klienci łączą się z ISA w sposób bezpieczny, czy nie – zaznaczyć Require SSL secured connections with clients.

    Rys. 5

    Rys. 5

  3. W oknie Web Listener IP Addresses należy zaznaczyć External. Wybierając przycisk Select IP Addresses można określić konkretny adres IP, na którym prowadzony jest nasłuch.

    Rys. 6

    Rys. 6

  4. W oknie External Network Listener IP Selection należy zaznaczyć Specified IP addresses on the ISA Server computer in the selected network i wybrać właściwy adres IP.

    Rys. 7

    Rys. 7

  5. ISA 2006 pozwala na przypisywanie różnych certyfikatów do różnych adresów IP. W oknie Listener SSL Certificates trzeba zaznaczyć Assign a certificate for each IP address, wybrać adres IP i przypisać do niego właściwy certyfikat (certyfikat musi być wcześniej zainstalowany).

    Rys. 8

    Rys. 8

  6. Następne okno kreatora służy do określenia sposobu autentykacji klientów. Należy w nim ustawić HTML Form Authentication oraz LDAP (Active Directory).

    Rys. 9

    Rys. 9

  7. trzeba określić, czy wykorzystywane jest SSO i zakończyć pracę kreatora.

    Rys. 10

    Rys. 10

 Do początku strony Do początku strony

Single Sign On

ISA Server 2006 wprowadza mechanizm Single Sign On, który uwalania użytkowników od ciągłego wprowadzania informacji uwierzytelniających w chwili przechodzenia na inne portale webowe.

  • SSO pomiędzy różnymi Web listener nie jest wspierane.
  • Publikowane serwery muszą mieć wspólny DNS suffix, np. dla publikacji mail.cohovineyard.com i portal.cohovineyard.com domena SSO to .cohovineyard.com

 Do początku strony Do początku strony

Przeczytaj pozostałe części artykułu

 Do początku strony Do początku strony

Krok po kroku: Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP     Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP, cz. II