Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Я получил много замечаний, относительно того,
что возможность конфигурации пароля работает некорректно в ISA
Firewall, в главном это касается сценариев публикации OWA.
Должен признать, что отчасти я виновен в этой дилемме.
Почему? Так как я сумел пользоваться конфигурацией пароля в
том случае, когда брандмауэр ISA Firewall являлся членом
домена (domain member). Я знаю, что мы могли это делать в
прошлых версиях брандмауэра ISA Firewall, хотя для этого и
приходилось использовать огромное количество разных трюков.

Еще проще включить изменение пароля на брандмауэре 2006
ISA Firewall. Но, чтоб это заработало, вам нужно
нечто большее, чем просто сделать компьютер членом домена. В
реальности, брандмауэр ISA Firewall не должен быть
членом домена, чтоб выполнить эту работу. Все что вам необходимо,
чтоб включить возможность смены пароля – это включить
аутентификацию LDAP на брандмауэре ISA Firewall.

А это совсем не значит, что брандмауэр ISA Firewall должен
быть членом домена. Вы сможете сделать брандмауэр ISA Firewall
членом домена и использовать аутентификацию LDAP для ваши
правил публикации интернет (Web Publishing Rules), для которых вы
желаете подключить функциональность конфигурации пароля. На
практике я делаю так: делаю брандмауэр ISA Firewall членом
домена, а потом настраиваю брандмауэр ISA Firewall для
поддержки аутентификации LDAP, для того, чтоб появилась
возможность смены пароля.

Вся неувязка появилась, когда я прочел блог на
ISA Firewall Team Blog. Самое принципиальное тут:

“Вы должны использовать соединение LDAPS с
сервером LDAP server/dc”

Итак, куда мы пришли – более ясно нереально
выразиться!

Примечание:. Джейсон Джонс (Jason Jones)
информирует меня, что брандмауэр ISA Firewall не надо
настраивать на внедрение сервера LDAP, если брандмауэр ISA
Firewall является членом домена, и на DC установлены серверные
сертификаты. Создается чувство, что член домена может
использовать LDAPS, если на контроллерах домена (DC)
установлены серверные сертификаты. Я ошибочно объяснил
комментарий в блоге ISA Firewall Team, сказав, что вам необходимо
использовать аутентификацию на сервере LDAP. Это было ошибочно,
вы должны включить LDAPS, что можно сделать настроив
брандмауэр ISA Firewall на внедрение сервера LDAP либо
сделав брандмауэр ISA Firewall членом домена, и установив на
DC серверные сертификаты. Спасибо Джейсону Джонсу
(Jason Jones)
за информацию! Необходимо отметить, что
остальная часть статьи будет таковой же увлекательной, т.к. в ней
будет приведена информация, касающаяся того, как настроить
брандмауэр ISA Firewall для использования подготовительной
аутентификации на сервере LDAP. Спасибо! –Tom

В этой статье я покажу вам, как настроить брандмауэр ISA
Firewall для поддержки аутентификации LDAP, чтоб ваши
юзеры смогли изменять свои пароли.

Настройка брандмауэра ISA Firewall для поддержки
аутентификации LDAP

Для того, чтоб использовать аутентификацию LDAP, вы должны
обрисовать на брандмауэре ISA Firewall наименования серверов LDAP,
которые вы желаете использовать для подготовительной
аутентификации входящих соединений. Есть две процедуры,
касающиеся опции серверов LDAP для использования
подготовительной аутентификации брандмауэрами ISA Firewall:

Описание наборов серверов LDAP, которые может
запрашивать брандмауэр ISA Firewall для получения прав
пользвателей
Описание особенных выражений (login expression), которые
может использовать брандмауэр ISA Firewall для определения
маршрутизации запроса LDAP. Эти выражения позволяют
найти, какой сервер LDAP отвечает за обработку
определенного запроса на аутентификацию.

Чтоб настроить сервера LDAP, откройте консоль брандмауэра
ISA Firewall и разверните узел Arrays (Массивы) (если
вы используете корпоративную версию ISA Enterprise Edition), а
потом разверните заглавие массива. Раскройте узел
Configuration (конфигурация) и нажмите на узел
General (общие). В среднем окне нажмите на ссылку
Specify RADIUS and LDAP Servers (указать сервера RADIUS и
LDAP).

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 1

Изберите закладку LDAP Servers в диалоговом окне
Authentication Servers (Сервера для аутентификации).
Нажмите на кнопку Add (добавить) рядом со перечнем
LDAP Server Sets (набор серверов LDAP).

В диалоговом окне Add LDAP Server Set введите
заглавие для набора серверов LDAP. В этом примере я создам
набор серверов LDAP для домена msfirewall.org, потому
просто введу заглавие MSFIREWALL в текстовом поле
LDAP server set name (заглавие набора серверов
LDAP).

Нажмите на кнопку Add (добавить) в диалоговом окне
Add LDAP Server Set. В диалоговом окне Add LDAP
Server (добавление сервера LDAP), введите FQDN для
контроллера домена msfirewall.org. В этом примере
заглавие DC для msfirewall.org – это
exchange2003be.msfirewall.org, потому мы введем это
заглавие в текстовое поле Server name (заглавие
сервера). Поле Server description (описание
сервера) является необязательным, также вы сможете бросить
в поле Time-out (seconds) тайм-аут в секундах значение,
предлагаемое по дефлоту. В этом случае, если у вас возникнут
сетевые препядствия, то вы сможете прирастить это значение.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 2

Нажмите кнопку OK в диалоговом окне Add LDAP
Server.

Направьте внимание, что мы ввели FQDN для наименования
сервера. Мы должны это сделать поэтому, что мы будем
использовать аутентификацию на базе сертификатов LDAPS,
когда брандмауэр ISA Firewall ведет взаимодействие с контроллером
домена. Если вы введет IP адресок в текстовом поле Server
name (заглавие сервера), то аутентификация LDAPS окончится
неудачей, т.к. значение в текстовом поле Server name
(заглавие сервера) должно соответствовать
общему/подчиненному наименованию в серверном сертификате,
установленном на контроллере домена DC. Т.к. мы установили
корпоративный CA на DC, само подписывающийся машинный
сертификат был автоматом сформирован на каждом контроллере
домена. Если б мы не установили CA на DC, то мы должны были
бы вручную сделать машинные сертификаты.

Примечание:Уделите пристальное внимание
последнему предложению в последнем параграфе . Очень принципиально
не пропустить его. Присвоение серверного сертификата для DC в
сценарии с корпоративным CA до боли просто, т.к. мы установили
корпоративный CA на DC. Если вы не установите корпоративный CA
на все ваши контроллеры домена DC, то вы должны
установить машинный сертификат на любой из контроллеров
домена DC. Идеальнее всего установить корпоративный CA
где-нибудь в вашем окружении, а потом настроить политику
группы (Group Policy) автоматической регистрации машинного
сертификата. Подробные аннотации об автоматической
регистрации выходят за рамки этой статьи. Более подробную
информацию о настройке автоматической регистрации (также
других сценариях установки сертификатов) вы сможете получить из
ISA
Server 2000 VPN Deployment Kit.

В текстовом поле Type the Active Directory domain name
(use the fully-qualified domain name), введите FQDN имя
домена Active Directory, который употребляется в наборе
серверов LDAP. В этом примере мы сделали набора для домена
msfirewall.org потому мы введем это значение в
текстовое поле.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 3

Для того чтоб появилась возможность конфигурации паролей
юзеров с внедрением подготовительной аутентификации
LDAP на брандмауэре ISA Firewall, мы должны подключить
поддержку LDAP. Чтоб LDAPS заработал, вы должны установить
машинные сертификаты на контроллеры домена с правильным общим
заглавием в сертификатах. Самый обычный метод сделать это –
использовать корпоративный CA и включить автоматическую
регистрацию (autoenrollment) при помощи политик группы (Group
Policy), о чем рассказывалось выше.

Брандмауэру ISA Firewall нужен CA сертификат,
выпущенный CA, установленным в его собственное машинное
хранилище сертификатов, чтоб он сумел доверять сертификатам,
установленным на DC. Мы уже установили CA сертификаты на
брандмауэр ISA Firewall, когда мы установили сертификаты интернет
веб-сайта в машинное хранилище сертификатов брандмауэра ISA
Firewall. Дополнительно, если брандмауэр ISA Firewall является
членом домена, и вы используете корпоративный CA в вашей
среде, то брандмауэр ISA Firewall автоматом установит
корневой сертификат CA в машинное хранилище сертификатов.

Когда подключена аутентификация LDAPS, нужно включить
настройку Use Global Catalog (использовать глобальный
каталог), вы должны ввести FQDN заглавие домена Active
Directory в текстовом поле Type the Active Directory domain
name (use the fully-qualified domain name). Если вы
не желаете включать управление паролями, то вы сможете
поставить галочку напротив поля Use Global Catalog (GC)
(использовать глобальный каталог) но бросить имя домена
Active Directory пустым.

Т.к. мы желаем изменять пароли для удаленных
юзеров, то мы должны также указать права юзера,
которые могут быть применены для доступа к Active Directory
для проверки статуса учетной записи юзера и конфигурации
пароля для этой учетной записи. Это может быть хоть какой
юзер в Active Directory, и для этого не необходимы права
админа домена. Введите имя юзера в текстовом
поле User name (имя юзера) и пароль в текстовом
поле Password (пароль). В этом примере мы будем
использовать учетную запись юзера домена, что видно из
рисунка выше.

Примечание: Вам не надо использовать учетную запись
юзера домена. Вы сможете использовать обыденную учетную
запись юзера для подключения к Active Directory. Я
использую учетную запись админа домена Active
Directory в этом примере только поэтому, что я очень ленив,
чтоб сделать новейшую учетную запись юзера.

Нажмите на кнопку OK в диалоговом окне Add LDAP
Server Set для окончания конфигурации набора серверов
LDAP msfirewall.org

Сейчас представим, что вы желаете включить аутентификацию
LDAP для другого домена. Это возможно окажется полезным, если у
вас есть несколько доменов, меж которыми нет доверительных
отношений, но вы как и раньше желаете использовать брандмауэр
ISA Firewall для обеспечения подготовительной аутентификации и
способности конфигурации паролей юзеров. Мы можем сделать
это, создав 2-ой набор серверов LDAP.

Давайте сделаем 2-ой набор серверов LDAP для домена
pixkiller.net. Сделаем 2-ой набор серверов,
используя информацию, представленную на рисунке ниже.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 4

Примечание:Если вы создаете 2-ой набор серверов
LDAP, то удостоверьтесь, что на ваших контроллерах домена
установлены серверные сертификаты для этого домена, и что
брандмауэр ISA Firewall имеет корневой сертификат CA для этого
домена в собственном машинном хранилище сертификатов (Trusted Root
Certification Authorities machine certificate store). В том
случае, если ваш брандмауэр ISA Firewall не является членом
второго домена, вы должны вручную установить корневые
сертификаты CA на брандмауэр ISA Firewall – автоматическая
регистрация для корневых сертификатов CA работает только для
доменов, к которым принадлежит брандмауэр ISA Firewall.

Мы окончили 1-ый шаг, который заключался в разработке
набора серверов LDAP . На втором шаге мы сделаем
правила, которые брандмауэр ISA Firewall сумеет использовать
для передачи запросов на аутентификацию на верный сервер
аутентификации (authentication server). Эти правила основаны
на строчках, применяемых юзерами для входа.

К примеру, юзеры могут войти на два веб-сайта OWA,
используя такие строчки, как:

user@msfirewall.org

MSFIREWALLuser

user@pixkiller.net

PIXKILLERuser

Основываясь на этой инфы мы можем сделать правила,
использующие шаблоны и элементы этих строк, при помощи которых
брандмауэр ISA Firewall сумеет передать запрос на
аутентификацию правильному контроллеру домена. К примеру:

*@msfirewall.org

MSFIREWALL*

Запросы на аутентификацию, которые будут содержать эти
строчки, будут переданы набору серверов LDAP под заглавием
MSFIREWALL. Очередной пример:

*@pixkiller.net

PIXKILLTER*

Запросы на аутентификацию, содержащие эти строчки, будут
переданы набору серверов LDAP под заглавием PIXKILLER.

Для сотворения таких правил нажмите на кнопку New
(новый), которая размещается справа от перечня Define
the login expressions ISA Server will use to match the user
login strings (описание выражений). В диалоговом окне
New LDAP Server Mapping введите шаблон для входа
MSFIREWALL* в текстовом поле Login expression
(выражение для входа). В выпадающем перечне LDAP server
set (набор серверов) изберите пункт MSFIREWALL.
Нажмите на кнопку OK.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 5

Нажмите опять на кнопку New (новый) и сделайте
2-ой шаблон. В сей раз введите в качестве шаблона для входа
Login expression *@msfirewall.org и изберите
элементMSFIREWALL и выпадающего перечня LDAP server
set (набор серверов LDAP)

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 6

Опять нажмите на кнопку New (новый), чтоб сделать
3-ий шаблон. В сей раз введите PIXKILLER* в
текстовом поле Login expression и изберите пункт
PIXKILLER из выпадающего перечня LDAP server set.
Нажмите на кнопку OK.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 7

Нажмите на кнопку New (новый) , чтоб сделать
последний шаблон. Введите *@pixkiller.net в текстовом
поле Login expression. Изберите PIXKILLER из
выпадающего перечня LDAP server set. Нажмите на кнопку
OK.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 8

На рисунке изображен перечень выражений для входа. Обратите
внимание, что вы сможете использовать стрелки ввысь и вниз для
конфигурации порядка правил (хотя на момент написания этой статьи
мне не пришло в голову, как это можно использовать). Нажмите
на кнопку Apply (применить), а потом на кнопку
OK. Нажмите на кнопку Apply (применить) для
сохранения конфигураций и обновления политик брандмауэра и
нажмите на кнопку OK в диалоговом окне Apply New
Configuration (применить новейшую конфигурацию) dialog
box.

Настройка брандмауэра ISA Firewall 2006 для поддержки смены пароля

Набросок 9

Сейчас вы сможете сделать правила публикации Web Publishing
Rules, которые употребляют группы юзеров LDAP, и
юзеры сейчас сумеют изменять свои пароли в формах
брандмауэра ISA Firewall.

Если что-то не вышло, то вы сможете обратиться за помощью
:

Не установлены сертификаты. Вы запрашиваете
серверный сертификат, при использовании аутентификации LDAPS
либо Windows.
Вход клиента замедляется, если употребляется
брандмауэр ISA Firewall на компьютере с операционной
системой Windows Server 2003 SP2 либо установлен пакет
обновления Scalable Networking Pack. Для разрешения этой
задачи поглядите статью KB 555958.
Вход клиента замедляется, если серверные сертификаты
настроены на значение по дефлоту «Server Authentication» и
«Client Authentication». Когда операционная система
Windows Server 2003 обнаруживает значение по дефлоту
«Client Authentication (клиентская аутентификация)» в
сертификате, то она пробует выполнить TLS с взаимной
аутентификацией. Процесс взаимной аутентификации просит,
чтоб сервер ISA Server имел доступ к закрытому ключу
сертификата, а у сервера ISA Server нет (и не должно быть)
такового доступа. Чтоб решить эту делему, удалите
значение «Client Authentication» из параметров сертификата
.
При аутентификации юзеров на сервере LDAP
появляется сообщение об ошибке Error page 500.
Юзеры могут вводить права, для которых не существует
выражений для входа. Юзеры должны заходить с
внедрением формата доменимя, либо
вы должны сделать выражение для входа, которое будет
обрабатывать данный формат. Добавьте один либо несколько
шаблонов в набор серверов LDAP. К примеру, если вы создадите
шаблон *@contoso.com, то юзер, который для
входа употребляет формат username@contoso.com, сумеет удачно
зайти.
Ошибка конфигурации пароля. По дефлоту политика
домена может иметь значение 1 либо больше для параметра
малый возраст пароля. Если вы желаете, чтоб ваши
юзеры могли изменять пароль более 1-го раза в денек,
то установить это значение (minimum password age) в 0. Это
очень принципиальное замечание, если вы тестируете функциональность
конфигурации пароля в испытательной лаборатории. Я сталкивался с
этим много раз, пока не узнал, что это была неувязка с
политикой группы.
После конфигурации пароля юзеры как и раньше могут
проходить аутентификацию, используя собственный старенькый пароль.
Active Directory разрешает внедрение старенького и нового
пароля в течение 1-го часа после конфигурации. Чтоб
убедиться, что это не неувязка сервера ISA Server, выйдите и
зайдите опять, используя собственный старенькый пароль. Для более
подробной инфы относительно ключа в реестре, который
позволяет настроить это время, вы сможете прочесть статью 906305.
Это очень увлекательный факт!

Резюме

В этой статье мы разглядели делему конфигурации пароля в
правилах публикации Web Publishing Rules на брандмауэре ISA
Firewall. Мы узрели, что требуется аутентификация LDAP, а
потом тщательно разглядели, как настроить брандмауэр ISA
Firewall для поддержки аутентификации LDAP. Вы должны держать в голове
одну важную вещь, что вы должны использовать LDAPS для
подключения способности конфигурации паролей. Это означает, что на
всех ваших серверах LDAPS (всех ваших контролеров домена)
должны быть установлены серверные сертификаты, также
корневые сертификаты CA каждого выпускающего CA должны быть
установлены в машинное хранилище сертификатов (Trusted Root
Certification Authorities machine certificate store) на
брандмауэре ISA Firewall. Уделите пристальное внимание
заглавиям в сертификатах. Удостоверьтесь, что брандмауэр ISA
Firewall способен распознавать эти наименования. Мы окончили нашу
статью разделом, посвященным отладке, который содержит
некие полезные подсказки от команды ISA Firewall
Team.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.