Bezpieczna publikacja OWA z wykorzystaniem uwierzytelniania LDAP, cz. I
Autor: Monika Fleszar
Opublikowano: 15 lutego 2007
Poniższy artykuł przedstawia nowy sposób uwierzytelniania, zastosowany w ISA Server 2006 – uwierzytelnianie LDAP i jego wykorzystanie w publikacji OWA.
Uwierzytelnienie LDAP jest bardzo zbliżone do uwierzytelnienia Active Directory. ISA 2006 łączy się z serwerem, który został skonfigurowany jako serwer LDAP w celu uwierzytelnienia użytkownika. Każdy z kontrolerów domeny jest jednocześnie serwerem LDAP, nie jest więc wymagana żadna dodatkowa konfiguracja kontrolerów.
Nowy sposób uwierzytelnienia pozwala na zainstalowanie ISA 2006 na serwerze wolnostojącym bez konieczności konfiguracji serwera RADIUS, jak również na uwierzytelnianie użytkowników w domenach, z którymi nie ma zestawionych relacji zaufania. Pozwala to na dostęp do skomplikowanego środowiska.
Korzystać z uwierzytelniania LDAP można niezależnie od tego, czy ISA 2006 jest członkiem domeny, czy nie. Niestety nie można tej metody wykorzystać w regułach dostępowych. Jest dostępna tylko w czasie publikacji.
ISA Server 2006 pozwala na uwierzytelnienia LDAP użytkowników w serwerach Windows Server 2003 i Windows 2000 Server; na razie nie ma wsparcia dla innych serwerów LDAP.
Użytkownicy do logowania mogą wykorzystywać:
- SAM account name (domena\login)
- User principal name (UPN) (login@domena)
Zawartość strony
Konfiguracja serwera ISA 2006 do uwierzytelniania LDAP | |
LDAP Server Set | |
Tworzenie LDAP Server Set | |
Tworzenie LDAP User Set | |
Tworzenie Web listener | |
Single Sign On | |
Przeczytaj pozostałe części artykułu |
Konfiguracja serwera ISA 2006 do uwierzytelniania LDAP
ISA Server może w różny sposób łączyć się z serwerem LDAP:
Połączenie | Port | Czy wymaga nazwy domeny | Czy wspiera opcję zmiany hasła |
LDAP | 389 | Tak | Nie |
LDAPS | 636 | Tak | Tak |
LDAP z wykorzystaniem GC | 3268 | Nie | Nie |
LDAPS z wykorzystaniem GC | 3269 | Nie | Nie |
Wykorzystanie LDAPS wymaga certyfikatu (Server Authentication, Domain Controller) zainstalowanego na kontrolerze domeny oraz certyfikatu głównego urzędu (root Ca) dodanego do zaufanych głównych urzędów certyfikacji na serwerze ISA.
Do początku strony
LDAP Server Set
LDAP server set jest grupą serwerów LDAP, które ISA wykorzystuje do uwierzytelnienia użytkowników. Wszystkie serwery mają te same ustawienia połączenia.
Ustawienie | Opis | Komentarz |
LDAP server set | Grupa serwerów LDAP wykorzystywana do uwierzytelniania o takich samych ustawieniach połączenia. | Wymagane |
LDAP servers | Lista serwerów LDAP | Wymagany minimum jeden. |
Active Directory domain |
Nazwa domeny, w której znajdują się konta użytkowników. Może ona występować w jednym z formatów:
|
Opcjonalne - jeśli nie jest zaznaczone Use Global Catalog(GC). |
Use global catalog |
Jeśli serwery LDAP są także skonfigurowane jako serwery GC, można zaznaczyć Use Global Catalog (GC) - w takim przypadku nie trzeba podawać nazwy domeny. W przypadku wyboru opcji Change Password ta opcja nie może być zaznaczona. |
Opcjonalne Uwaga: Password Management nie działa, jeśli wykorzystywana jest ta opcja. |
Connect LDAP servers over secure connection | Pozwala na szyfrowanie SSL połączenia między serwerem ISA a serwerem LDAP. |
Opcjonalne Uwaga: przy korzystaniu z ChangePassword ta opcja musi być wybrana. |
User name and password |
Ustawienie to jest potrzebne przy korzystaniu z Password Management. Ponieważ ISA Server nie jest członkiem domeny należy podać konto i hasło, które będzie wykorzystywane do weryfikacji użytkowników. Konto musi być kontem domenowym, nie wymaga specjalnych uprawnień, jest wykorzystywane do połączenia z serwerem i odpytania o właściwości konta użytkownika, który się loguje. Nie jest wykorzystywane przy zmianie hasła. |
Opcjonalne |
Do początku strony
Tworzenie LDAP Server Set
W konsoli ISA Server Management należy rozwinąć nazwę serwera, następnie wybrać Configuration i General.
W panelu szczegółów kliknąć Specify RADIUS and LDAP Servers, przejść na zakładkę LDAP Servers Sets. Wybrać przycisk Add.
Rys. 1
W oknie Add LDAP Server Set w polu LDAP server set name należy wprowadzić dowolną nazwę, kliknąć Add, aby dodać nazwy lub adresy IP serwerów oraz nazwę FQDN domeny.
Rys. 2
Kliknąć OK w celu zamknięcia okna Add LDAP Server Set.
Na zakładce LDAP servers kliknąć New - otworzy się okno New LDAP Server Mapping, w którym należy wprowadzić Login expression oraz wybrać LDAP server set.
Rys. 3
Uwaga: Ldap server mapping pozwala określić gdzie należy przekierować uwierzytelnienie w zależności od domeny, do której należy konto użytkownika, np. contoso\* do serwerów grupy LDAP contoso, a nwtraders\* do LDAP nwtraders.
Zamknąć okno Authentication Servers.
Do początku strony
Tworzenie LDAP User Set
Aby uwierzytelniać użytkowników poprzez LDAP, trzeba wskazać, jacy użytkownicy mają być uwierzytelniani i przez jakie serwery. W tym celu tworzony jest LDAP User Set.
W konsoli ISA Server Management należy wybrać Firewall Policy, a następnie Toolbox, Users i New. W oknie powitalnym wprowadzić nazwę dla grupy użytkowników.
W oknie Users wybrać przycisk Add i zaznaczyć LDAP.
W oknie Add LPAD Users wybrać stworzoną wcześniej grupę serwerów oraz określić grupę użytkowników. Dokończyć pracę kreatora.
Rys. 4
Do początku strony
Tworzenie Web listener
W konsoli ISA Server Management należy wybrać Firewall Policy, a następnie zakładkę Toolbox, Network Objects, New i Web Listener. Pojawi się powitalne okno kreatora, w którym należy wprowadzić nazwę.
W kolejnym oknie należy określić, czy klienci łączą się z ISA w sposób bezpieczny, czy nie – zaznaczyć Require SSL secured connections with clients.
Rys. 5
W oknie Web Listener IP Addresses należy zaznaczyć External. Wybierając przycisk Select IP Addresses można określić konkretny adres IP, na którym prowadzony jest nasłuch.
Rys. 6
W oknie External Network Listener IP Selection należy zaznaczyć Specified IP addresses on the ISA Server computer in the selected network i wybrać właściwy adres IP.
Rys. 7
ISA 2006 pozwala na przypisywanie różnych certyfikatów do różnych adresów IP. W oknie Listener SSL Certificates trzeba zaznaczyć Assign a certificate for each IP address, wybrać adres IP i przypisać do niego właściwy certyfikat (certyfikat musi być wcześniej zainstalowany).
Rys. 8
Następne okno kreatora służy do określenia sposobu autentykacji klientów. Należy w nim ustawić HTML Form Authentication oraz LDAP (Active Directory).
Rys. 9
trzeba określić, czy wykorzystywane jest SSO i zakończyć pracę kreatora.
Rys. 10
Do początku strony
Single Sign On
ISA Server 2006 wprowadza mechanizm Single Sign On, który uwalania użytkowników od ciągłego wprowadzania informacji uwierzytelniających w chwili przechodzenia na inne portale webowe.
- SSO pomiędzy różnymi Web listener nie jest wspierane.
- Publikowane serwery muszą mieć wspólny DNS suffix, np. dla publikacji mail.cohovineyard.com i portal.cohovineyard.com domena SSO to .cohovineyard.com
Do początku strony
Przeczytaj pozostałe części artykułu
Do początku strony |