Veröffentlichen von Outlook Web Access mit LDAP-Authentifizierung
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
Seit ISA Server 2004 ist es nicht mehr zwingend erforderlich, dass ISA Server Mitglied der Domäne sein muss, um den Zugriff in Firewallrichtlinien anhand von Benutzerkonten aus dem Active Directory zu steuern. In ISA Server 2006 wurde eine weitere Authentifizierungsmethode hinzugefügt, die es für Webveröffentlichungen erlaubt, die Benutzer anhand des LDAP-Verzeichnisses des Active Directorys zu authentifizieren. Wie Sie ISA Server 2006 dafür konfigurieren müssen, damit dieser in Webveröffentlichungen gegen das LDAP-Verzeichnis des Active Directorys authentifizieren kann, erfahren Sie in diesem Artikel am Beispiel der Veröffentlichung von Outlook Web Access.
Szenario
In der Domäne existiert neben dem Domänencontroller ein Exchange Server 2007, auf dem die Postfächer der Benutzer liegen. Der ISA Server 2006 ist nicht Mitlied der Domäne, sondern ist alleinstehend in einer Arbeitsgruppe. Externe Clients sollen jedoch über den ISA Server 2006 per Outlook Web Access Zugriff auf ihr Postfach bekommen. Aus Sicherheitsgründen werden die Benutzer bereits am ISA Server 2006 mittels LDAP gegen das Active Directory authentifiziert.
1. Konfiguration von ISA Server 2006 für die LDAP-Authentifizierung
Damit ISA Server 2006 die Benutzer gegen das LDAP-Verzeichnis des ADs authentifizieren kann, müssen Sie zunächst den internen Domänencontroller angeben, der den globalen Katalog besitzt. Öffnen Sie hierzu die Verwaltungskonsole von ISA Server 2006 und navigieren Sie zum Knoten Konfiguration -> Allgemein.
Klicken Sie auf RADIUS- und LDAP-Server festlegen, um einen LDAP-Server zu hinterlegen, der für die Authentifizierung verwendet werden soll.
Wechseln sie zur Registerkarte LDAP-Server und erstellen Sie anschließend über die Schaltfläche Hinzufügen einen neuen LDAP-Serversatz. Ein LDAP-Serversatz enthält alle LDAP-Server (DCs) einer Domäne. Haben Sie zum Beispiel mehrere Subdomains innerhalb Ihres ADs, so müssen Sie pro Subdomain einen LDAP-Serversatz erstellen.
Vergeben Sie einen aussagekräftigen Namen für den LDAP-Serversatz und geben Sie die zu verwendenden Domänencontroller über die Schaltfläche Hinzufügen an.
Tragen Sie im Textfeld Servername den FQDN oder die IP-Adresse des internen DCs ein und vergeben Sie eine Beschreibung, damit Sie den Domänencontroller ggf. unterscheiden können. Übernehmen Sie den LDAP-Server über die Schaltfläche OK.
Fügen Sie bei Bedarf weitere LDAP-Server der Domäne über die Schaltfläche Hinzufügen hinzu. Nachdem Sie die LDAP-Server konfiguriert haben, tragen Sie den Domänennamen des AD im dafür vorgesehenen Textfeld ein. Durch diese Angabe können Sie steuern, wo nach Benutzern gesucht werden soll. Durch die Angabe CN=USERS,DC=MEINEDOMAIN,DC=LOCAL, können Sie die Suche nur auf die Organisationseinheit Users beschränken. Über die Kontrollkästchen Globalen Katalog (GC) verwenden und LDAP-Server über sichere Verbindung verbinden können Sie angeben, wie der Zugriff auf den LDAP-Server erfolgen soll. Für die einfache Authentifizierung von Benutzern ist der Globale Katalog ausreichend. Optional können Sie einen Benutzer hinterlegen, der für die Authentifizierung gegen den LDAP-Server verwendet werden soll. Übernehmen Sie die Einstellungen über die Schaltfläche OK.
Die LDAP-Konfiguration sollte bislang wie im gezeigten Bild aussehen. In welcher Form Benutzer ihre Anmeldeinformationen eingeben steuern Sie über die Anmeldeausdrücke. Fügen Sie über die Schaltfläche Neu mindestens einen Anmeldeausdruck hinzu.
 |
 |
Fügen Sie die beiden Anmeldeausdrücke MEINEDOMAIN\* und *@meinedomain.local hinzu. Dadurch können sich die Benutzer in der Form Benutzer@meindomain.local oder Meinedomain\Benutzer anmelden. Das Sternchen (*) ist hierbei ein Platzhalter für den Benutzernamen. Wählen Sie zusätzlich in Dropdownfeld vorhin konfigurierten LDAP-Serversatz aus, damit eine Beziehung zwischen LDAP-Serversatz und Anmeldeausdruck hergestellt werden kann. Übernehmen Sie die Einstellungen über die Schaltfläche OK.
Die LDAP-Server-Konfiguration sollte nach Angabe des LDAP-Serversatzes und der Anmeldeausdrücke wie im obigen Bild aussehen. Die Konfiguration des LDAP-Servers ist damit abgeschlossen und Sie können das Fenster über die Schaltfläche OK schließen. Übernehmen Sie anschließend die Änderungen über die Schaltfläche Übernehmen in der Verwaltungskonsole von ISA Server 2006.
2. Konfiguration von Benutzern/Gruppen für die LDAP-Authentifizierung
Damit ISA Server 2006 den Zugriff anhand von Benutzern über das LDAP-Verzeichnis steuern kann, müssen Sie einen neuen Benutzersatz angeben, in dem die Benutzer aus dem LDAP-Verzeichnis (AD) hinterlegt sind. Wechseln Sie hierzu in der Verwaltungskonsole von ISA Server 2006 zum Knoten Firewallrichtlinien und öffnen Sie die Registerkarte Toolbox.
Wählen Sie innerhalb der Toolbox die Rubrik Benutzer aus und klicken Sie im Menü auf Neu.
Zum Erstellen eines neuen Benutzersatzes bietet ISA Server 2006 einen Assistenten an, der Sie durch die Konfiguration leiten wird. Vergeben Sie zunächst einen aussagekräftigen Namen für den Benutzersatz.
Fügen Sie die Benutzer über die Schaltfläche Hinzufügen hinzu und wählen Sie als Namespace LDAP aus.
Damit ISA Server 2006 die Benutzer gegen das richtige LDAP-Verzeichnis authentifizieren kann, müssen Sie zunächst im Dropdownfeld LDAP-Serversatz den richtigen LDAP-Serversatz auswählen. Anschließend müssen Sie im Textfeld den Benutzer oder die Gruppe angeben, die Sie hinzufügen möchten. Über die Option Alle Benutzer in diesem Namespace würden Sie alle Benutzer hinzufügen, die erfolgreich gegen das LDAP-Verzeichnis authentifiziert werden können. Klicken Sie auf die Schaltfläche OK.
Da Sie während der Konfiguration des LDAP-Serversatzes keinen Benutzernamen hinterlegt haben, der für den LDAP-Zugriff verwendet werden soll, müssen Sie ein Anmeldekonto angeben, anhand dessen die Existenz des Benutzers oder der Gruppe überprüft werden kann.
Nach erfolgreicher Überprüfung ist der Benutzer bzw. die Gruppe dem Benutzersatz hinzugefügt worden.
Abschließend erhalten Sie eine Zusammenfassung über den eben erstellten Benutzersatz.
Übernehmen Sie die Änderungen über die Schaltfläche Übernehmen in der Verwaltungskonsole von ISA Server 2006.
3. Erstellen einer Veröffentlichungsregel für Outlook Web Access
Nachdem Sie erfolgreich den Zugriff auf den LDAP-Server konfiguriert und bereits einen Benutzersatz erstellt haben, der für den authentifizierten Zugriff verwendet werden soll, müssen Sie noch eine Firewallrichtlinie für die Veröffentlichung von Outlook Web Access erstellen. Wechseln Sie hierzu in der Verwaltungskonsole von ISA Server 2006 zum Knoten Firewallrichtlinien und rufen Sie über Neu den Assistenten Veröffentlichungsregel für Exchange-Webclientzugriff aus dem Kontextmenü auf.
Vergeben Sie im Assisenten zunächst einen Namen für die neue Veröffentlichungsregel.
Wählen Sie im Dropdownfeld Ihre Version des Exchange Servers aus und setzten Sie den Haken im Weblclient-Dienst Outlook Web Access.
Geben Sie als Veröffentlichungstyp die Option Einzelne Website oder Lastenausgleich veröffentlichen an. Falls Sie eine Exchange-Server-Farm besitzen und Sie möchten die Lastverteilung durch ISA Server 2006 vornehmen, so wählen Sie hier die zweite Option aus.
In diesem Schritt konfigurieren Sie, wie ISA Server die Verbindung mit dem Exchange Server herstellen soll. Aus Sicherheitsgründen sollten Sie hier HTTPS verwenden, damit die gesamte Kommunikation gesichert übertragen wird.
Tragen Sie unter Interner Sitename den FQDN des Exchange Servers ein, an den die Anfrage weitergeleitet werden soll. Beachten Sie bei HTTPS, dass diese Angabe mit dem Common Name des Zertifikats übereinstimmen muss. Sollte ISA Server den FQDN des internen Exchange Servers nicht auflösen können, so können Sie durch aktivieren des Kontrollkästchens Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen z.B. die interne IP-Adresse angeben, an die die Anfrage weitergeleitet werden soll.
Geben Sie den Domänennamen an, für den ISA Server die Anfragen für Outlook Web Access akzeptieren soll. Aus Sicherheitsgründen, sollten Sie hier den Zugriff immer auf einen FQDN einschränken.
Der Assistent erfordert die Angabe eines Weblisteners, der für die Veröffentlichung von Outlook Web Access verwendet werden soll. In dieser Anleitung existiert noch kein Weblistener. Erstellen Sie deshalb einen neuen Weblistener über die Schaltfläche Neu.
Vergeben Sie im Assistenten einen aussagekräftigen Namen für den neuen Weblistener.
Wählen Sie die Option Sichere SSL-Verbindung mit Clients erforderlich aus, damit der Zugriff von Extern nur über einen gesicherten SSL-Tunnel stattfinden kann.
Geben Sie an, auf welchem Netzwerk von ISA Server, der Weblistener auf Anfragen abhören soll. Aktivieren Sie für Zugriffe aus dem Internet das Netzwerk Extern. Über die Schaltfläche IP-Adressen auswählen könnten Sie den Weblistener an dedizierte IP-Adressen binden, ansonsten hört ISA Server auf allen eingetragenen IP-Adressen des Netzwerks ab.
Wählen Sie über die Schaltfläche Zertifikat auswählen das Zertifikat aus, das für die Veröffentlichung von Outlook Web Access verwendet werden soll.
Wie ISA Server die externen Clients authentifizieren soll und wie die Anmeldeinformationen überprüft werden müssen Sie in diesem Schritt konfigurieren. Für den externen Zugriff auf Outlook Web Access ist es zu empfehlen, die HTML-Formularbasierte Authentifizierung zu verwenden, da Sie mit dieser weitere Sicherheitseinstellungen am Weblistener und in der Firewallrichtlinie konfigurieren können. Wählen Sie hier die Option LDAP aus, damit ISA Server die Anmeldeinformationen gegen den vorhin konfigurierten LDAP-Server vornehmen kann. Eine weitere Konfiguration bzgl. LDAP-Server ist hier nicht erforderlich. ISA Server 2006 verwendet automatisch die Informationen, die Sie bereits während der LDAP-Server-Konfiguration konfiguriert haben.
Für den Fall, dass Sie mehrere Websites über ISA Server 2006 veröffentlichen und keine mehrmalige Authentifizierung wünschen, so lassen Sie die Single Sign On-Funktion aktiviert, anderenfalls deaktivieren Sie diese.
Zum Abschluss des Assistenten bekommen Sie alle Einstellungen des Weblistener in einer kurzen Zusammenfassung angezeigt.
Der soeben erstellte Weblistener wird automatisch als Auswahl für die Veröffentlichungsregel übernommen. Über die Schaltfläche Bearbeiten könnten Sie weitere Einstellungen am Weblistener vornehmen.
Die Authentifizierungsdelegierungseinstellung gibt an, wie ISA Server die angegebenen Anmeldeinformationen an den veröffentlichten Exchange Server weiterleitet. Wählen Sie hier eine unterstütze Authentifizierungsmethode des Exchange Servers aus.
Damit ISA Server den Zugriff anhand von Benutzern des LDAP-Verzeichnisses steuern kann, müssen Sie zunächst die Benutzergruppe Alle authentifizierten Benutzer über die Schaltfläche Entfernen löschen und einen Benutzersatz angeben, der für den LDAP-Zugriff konfiguriert ist. Wählen Sie den Benutzersatz OWA-Benutzer über LDAP aus und übernehmen Sie diesen über die Schaltfläche Schließen.
Die Konfiguration der Veröffentlichungsregel für Outlook Web Access über LDAP ist abgeschlossen und Sie bekommen wieder eine kurze Zusammenfassung der Einstellungen angezeigt. Aktivieren Sie die vorgenommenen Änderungen über die Schaltfläche Übernehmen in der Verwaltungskonsole von ISA Server 2006.
Die Veröffentlichungsregel sollte wie in obiger Abbildung aussehen.
Rufen Sie von einem externen Client die URL auf, unter der Sie Outlook Web Access soeben veröffentlicht haben und überprüfen Sie die Funktion. Überprüfen Sie ebenfalls die Anmeldung in der Form Benutzer@meinedomain.local und Meinedomain\Benutzer. Sollte alles reibungslos funktionieren, so können Sie nun auf Outlook Web Access über eine LDAP-Authentifizierung zugreifen.
Stand: Friday, 28. August 2009/CG.
