ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
POP3 für Clients
Serververöffentlichung ohne SNAT
IE auf ISA
RPC over HTTPS
HTTP Filterung
DNS Server
OWA mit LDAP
Kennwortänderung mit LDAP
Cloudmark Antigen Engine

 

Kennwortänderung über LDAP-Authentifizierung


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2006

 

Seit ISA Server 2004 ist es nicht mehr zwingend erforderlich, dass ISA Server Mitglied der Domäne sein muss, um den Zugriff in Firewallrichtlinien anhand von Benutzerkonten aus dem Acitve Directory zu steuern. In ISA Server 2006 wurde eine weitere Authentifizierungsmethode hinzugefügt, die es für Webveröffentlichungen erlaubt, die Benutzer anhand des LDAP-Verzeichnisses des Active Directorys zu authentifizieren. Wie Sie ISA Server 2006 dafür konfigurieren mussen, damit dieser zusätzlich über die LDAP-Authentifizierung die Möglichkeit bietet das Kennwort des Benutzers zu ändern, erfahren Sie in diesem Artikel am Beispiel der Veröffentlichung von Outlook Web Access.

Hinweis: Diese Anleitung beschreibt nicht die gesamte Konfiguration der LDAP-Authentifizierung, sondern nur die zusätzlichen Schritte für die Kennwortänderung über LDAPS.

Szenario






In der Domäne existiert neben dem Domänencontroller ein Exchange Server 2007, auf dem die Postfächer der Benutzer liegen. Der ISA Server 2006 ist nicht Mitlied der Domäne, sondern ist alleinstehend in einer Arbeitsgruppe. Externe Clients sollen jedoch über den ISA Server 2006 per Outlook Web Access Zugriff auf ihr Postfach bekommen und die Möglichkeit haben Ihr Kennwort zu ändern. Aus Sicherheitsgründen werden die Benutzer bereits am ISA Server 2006 mittels LDAP gegen das Active Directory authentifiziert. Eine Möglichkeit wäre die Konfiguration der Funktion IISADMPWD mit der Sie das Kennwort über Outlook Web Access ändern können. Viel eleganter geht dies über die Anmeldemaske der forumlarbasierten Authentifizierung mit ISA Server 2006.

1. Konfiguration des Weblisteners für die Kennwortänderung

Zunächst müssen Sie die Funktion der Kennwortänderung am Weblistener aktivieren. Öffnen Sie hierzu die Verwaltungskonsole von ISA Server 2006 und navigieren Sie in den Firewallrichtlinien zur entsprechenden Webveröffentlichung. Rufen Sie über das Kontextmenü die Eigenschaften auf und wechseln Sie zur Registerkarte Listener.



Klicken Sie auf die Schaltfläche Eigenschaften um die Einstellungen des Weblisteners zu bearbeiten.



Die Möglichkeit der Kennwörtänderung wird dem Benutzer als Option im Anmeldeformular angezeigt. Wechseln Sie deshalb zur Registerkarte Formulare und aktivieren Sie die Option Änderung von Kennwörtern zulassen. Zusätzlich können Sie die Funktion der Kennworterinnerung aktiviern, dadurch wird dem Benutzer angezeigt, wie viele Tage verbleiben, bis dieser sein Kennwort ändern muss. Befindet sich ein Benutzer innerhalb dieser Erinnerungszeit, so wird diesem bei der Anmeldung automatisch angeboten sein Kennwort zu ändern. Übernehmen sie die Änderungen über die Schaltfläche Übernehmen.



Sie erhalten sofort eine Warnung, die Sie darauf aufmerksam macht, dass bislang die Authentifizierung unverschlüsselt gegen den Globalen Katalog vorgenommen wird. Die Änderung von Kennwörtern ist allerdings nur über eine gesicherte Verbindung zu einem LDAP-Server per LDAPS möglich. Schließen sie die Warnung über die Schaltfläche OK und wechseln Sie darauf hin zur Registerkarte Authentifizierung.



Damit ISA Server 2006 den Benutzer nicht mehr gegen den Globalen Katalog (GC) authentifiziert müssen Sie dies in den Einstellungen für den Verifizierungsserver konfigurieren. Klicken Sie hierzu auf die Schaltfläche Verifizierungsserver konfigurieren.



Unter der Registerkarte LDAP-Server sehen Sie den bereits hinterlegten LDAP-Serversatz AD der für die Authentifizierung verwendet wird. Wählen Sie diesen aus und klicken Sie auf die Schaltfläche Bearbeiten.



Entfernen Sie im LDAP-Serversatz den Haken von der Option Globalen Katalog (GC) verwenden und aktivieren Sie die Verwendung von LDAPS über die Option LDAP-Server über gesicherte Verbindung verbinden. Achten Sie darauf, dass Sie nicht versehentlich beide Optionen aktiviert haben. Die Änderung des Kennworts erfordert die Angabe eines Benutzers aus dem Active Directory, der dazu verwendet wird Informationen, wie z.B. das Datum der letzten Kennwortänderung oder das Ablaufdatum des Kennwort zu überprüfen, damit die Sicherheitsvorgaben des Active Direcotrys gewährleistet werden können. Entgegen dem Hilfetext wird dieses Benutzerkonto nicht dazu verwendet das Benutzerkennwort zu ändern, sondern es dient ausschließlich der Überprüfung des Status. Das Benutzerkonto benötigt deshalb keine besonderen Rechte im Active Directory. Sinnvoll ist es hierfür einen eigenen Benutzer zu erstellen, wie in dieser Anleitung der Benutzer Kennwort, der ein gewöhnlicher Domänenbenutzer ist. Klicken Sie nach der Eingabe von Benutzername und Kennwort auf die Schaltfläche OK. Schließen Sie anschließend alle Fenster und übernehmen Sie die Änderungen über die Schaltfläche Übernehmen in der Verwaltungskonsole von ISA server 2006.



Rufen Sie darauf hin zum Test die URL für Outlook Web Access von einem externen Client im Browser auf. Wie Sie sehen können bietet die formularbasierte Authentifizierung jetzt die Möglichkeit der Kennwortänderung an. Aktivieren Sie diese und melden Sie sich mit Ihrem Anmeldeinformationen an Outlook Web Access an.



Bevor Sie zur Ihrem Postfach gelangen wird Ihnen eine weitere Seite angezeigt, in der Sie Ihr Kennwort ändern können. Geben Sie hierzu einmalig Ihr bestehendes Kennwort ein und zweimal das neue Kennwort. Klicken Sie anschließend auf die Schaltfläche ändern. Über die Schaltfläche Weiter könnten Sie den Vorgang abbrechen und würden direkt zum Postfach gelangen.



Widererwartend erhalten Sie eine HTTP 500-Fehlermeldung. Grund hierfür ist dass die Authentifizierung jetzt über LDAPS vergenommen wird. Ähnlich wie bei SSL-Verschlüsselung sind hierfür ebenfalls Zertifikate notwendig. Auf dem Domänencontroller muss bei einer AD-integrierten CA ein Zertifikat vom Typ Domänencontroller oder ein Serverauthentifizierungszertifikat bei einer alleinstehenden CA installiert sein. In folgenden Schritten wird ein Zertifikat von einer AD-integrierten Zertifizierungsstelle auf dem Domänencontroller bentragt.

2. Beantragen des Zertifikats auf dem Domänencontroller

Wie Sie bereits erfahren haben, benötigen Sie ein Zertifikat auf dem Domänencontroller, das für die Verschlüsselung der LDAPS-Kommunikation verwendet wird. Wechseln Sie deshalb zu Ihrem Domänencontroller und rufen Sie eine Verwaltungskonsole über Start->Ausführen->MMC auf. Fügen Sie der leeren Management Konsole über die Tastenkombination STRG + M das Snap-In Zertifikate für das lokale Computerkonto hinzu.



Navigieren Sie im Konsolenstamm zu Zertifikate (Lokaler Computer)->Eigene Zertifikate->Zertifikate. Wählen Sie dort aus dem Kontextmenü die Aufgabe Neues Zertifikat anfordern aus.



Es startet darauf hin der Assistent zum Beantragen eines neuen Zertifikats. Fahren Sie über die Schaltfläche Weiter fort.



Als Zertifikatstyp wird Ihnen nur das Zertifikat vom Typ Domänencontroller angeboten. Wählen Sie dieses aus und klicken Sie auf die Schaltfläche Weiter.



Tragen Sie einen Namen für das Zertifikat ein, dieser Name ist allerdings nicht der Common Name auf den das Zertifikat ausgestellt wird. Dieser wird automatisch aus dem Active Directory ausgelesen. Fügen Sie optional noch eine Beschreibung hinzu und klicken Sie auf die Schaltfläche Weiter.

Hinweis: Beachten Sie dass bei LDAPS-Kommunikaton der Common Name des Zertifikats mit dem angegebenen Servernamen im LDAP-Serversatz übereinstimmen muss, ansonsten würden Sie wieder eine HTTP 500-Fehlermeldung erhalten.



Zum Abschluß des Assistenten bekommen Sie eine Zusammenfassung angezeigt. Klicken Sie zur Ausstellung des Zertifikats auf die Schaltfläche Fertigstellen.



Nach erfolgreicher Anforderung sehen Sie im Zertifikatsspeicher des Computers das ausgestellte Zertifikat. Wiederholen Sie diese Schritte für jeden Domänencontroller, den Sie im ISA Server 2006 für die Authentifizierung hinterlegt haben. Da es sich in dieser Anleitung um eine AD-integrierte Zertifizierungsstelle handelt vertrauen die Domänencontroller automatisch Zertifikaten dieser Zertifizierungsstelle. Anders hingegen sieht es mit dem ISA Server 2006 aus, dieser ist nicht Mitglied des Active Direcotrys und vertraut somit nicht automatisch Zertifikaten dieser Zertifizierungsstelle. Deshalb müssen Sie das Zertifizierungsstellenzertifikat exportieren und auf dem ISA Server 2006 importieren, damit dieser Zertifikate der internen Zertifizierungsstelle als vertrauenswürdig anerkennt.

3. Ex- und Import des Stammzertifizierungsstellenzertifikats

Das Zertifizierungsstellenzertifikat erhalten Sie entweder von der Website der Zertifizierungsstelle oder Sie können es direkt aus der bereits geöffneten Management-Konsole exportieren.



Wechseln Sie in der vorhandenen MMC zum Knoten Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate und suchen Sie das Zertifikat Ihrer internen Zertifizierungsstelle. Markieren Sie dieses und exportieren Sie das Zertifikat über die Aufgabe Exportieren des Kontextmenüs.



Für den Exportvorgang steht wieder ein Assistent zur Verfügung. Klicken Sie auf die Schaltfläche Weiter, um mit dem Export zu beginnen.



Wählen Sie das Format aus, in dem Sie das Zertifikat exportieren möchten und fahren Sie über die Schaltfläche Weiter fort.



Geben Sie den Speicherort und den Dateinamen für das zu exportierende Zertifikat an. Klicken Sie anschließend auf die Schaltfläche Weiter. Das Zertifikat müssen Sie später vom Domänencontroller zum ISA Server 2006 übertragen, dazu empfiehlt es sich dieses gleich auf einem transportablen Speichermedium, z.B. einem USB-Stick, abzuspeichern.



Zum Abschluß wird Ihnen wieder eine Zusammenfassung über den Zertifikatsexport angezeigt. Beginnen Sie den Export über die Schaltfläche Ferigstellen. Wechseln Sie anschließend zum ISA Server 2006 und importieren Sie dort das Zertifikat.



Installieren Sie das Stammzertifizierungsstellenzertifikat, indem Sie in einem Explorer-Fenster die Datei auswählen und aus dem Kontextmenü den Eintrag Zertifikat installieren auswählen.



Es startet darauf hin der Assistent für den Zertifikatsimport. Klicken Sie auf die Schaltfläche Weiter.



Das Stammzertifizierunsstellenzertifikat muss in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers importiert werden, damit ISA Server 2006 Zertifikaten dieser Zertifzierungsstelle vertraut. Wählen Sie deshalb die Option Alle Zertifikate in folgendem Speicher speichern aus und klicken Sie auf die Schaltfläche Durchsuchen.



Setzten Sie den Haken im Kontrollkästchen Physikalischen Speicher anzeigen, damit Sie die Zertifikatsspeicher des Computers angezeigt bekommen und wählen Sie unterhalb des Knotens Vertrauenswürdige Stammzeritifizierungsstellen den Speicher Lokaler Computer aus. Übernehmen Sie die Auswahl über die Schaltfläche OK und fahren Sie im vorigen Fenster über die Schaltfläche Weiter fort.



Importieren Sie zum Abschluss das Zertifikat über die Schaltfläche Fertigstellen.

Nun haben Sie ISA Server 2006 dafür konfiguriert, dass dieser Zertifikaten Ihrer internen Zertifizierungsstelle vertraut. Auf dem Domänencontroller haben Sie das benötigte Zertifikat beantragt und ausgestellt bekommen. Somit sind die Voraussetzungen für eine gesicherte Kommunikation per LDAPS geschaffen und Sie können einen erneuten Versuch starten, Ihr Kennwort über die Anmeldemaske der formularbasierten Authentifizierung zu ändern.



Rufen Sie zum Test wieder die URL für Outlook Web Access von einem externen Client auf und aktivieren Sie die Option der Kennwortänderung. Wenn alles funktioniert, dann erhalten Sie nach dem Klick auf die Schaltfläche Kennwort ändern eine Bestätigung, dass das Kennwort erfolgreich geändert wurde und Sie können über die Schaltfläche Weiter zu Ihrem Postfach wechseln.

 

 

Stand: Friday, 28. August 2009/CG.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher