Nội dung Cấu hình Exchange Client Access với ISA 2006 (Phần 2)
Rui Silva
Qua bài này, chúng ta sẽ xem xét đến việc cấu hình được
Exchange CAS/Front-End và ISA Server có cơ chế thẩm định được yêu cầu làm việc.
Cấu hình Exchange 2003
Front-End
Chúng ta phải thực hiện một số thay đổi trong cấu hình của
Exchange 2003 để việc công bố ISA Server Web client làm việc đúng cách:
-
Xác nhận thẩm định dựa trên biểu mẫu không được chọn trên
máy chủ Exchange front-end.
-
Kích hoạt RPC qua HTTP trên máy chủ Exchange front-end
-
Yêu cầu các kênh truyền thông an toàn (SSL) với Web site
-
Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được
chọn trên máy chủ Exchange front-end, bạn khởi chạy Exchange System Manager,
mở rộng phần Servers, sau đó mở rộng phần front-end server của bạn. Tiếp tục
mở rộng phần Protocols, HTTP, kích chuột
phải vào Exchange Virtual Server, sau đó chọn
Properties. Kích tab Settings, sau đó xóa hộp kiểm
Enable Forms Based Authentication. Kích OK.
 |
Hình 1
-
Để tạo cho máy chủ Exchange Front-End một máy chủ RPC
proxy, bạn mở rộng phần Servers, kích chuột phải vào máy chủ front-end, sau đó
kích Properties. Chọn cửa sổ RPC-HTTP, chọn
RPC-HTTP front-end server, và kích OK để
đóng hộp thoại các thuộc tính của máy chủ đã chọn. Kích OK.
-
Sau khi một chứng chỉ được cài đặt cho Web site, bạn cần
yêu cầu Web site chỉ chấp nhận cho các truyền thông kênh an toàn. Trong IIS
Manager, mở rộng máy tính cục bộ, và sau đó mở rộng thư mục Web Sites. Kích
chuột phải vào thư mục ảo /Exchange và kích
Properties. Trên tab Directory Security kích Edit.
Chọn Require secure channel (SSL) trên cửa sổ Secure
Communication sau đó kích OK. Kích OK một
lần nữa để đóng hộp thoại các thuộc tính Web site. Lặp lại bước này cho
/Public, /Exchweb và /rpc.
Hình 2
Cấu hình Exchange 2007 Client
Access
Với Exchange 2007, các thay đổi cần thiết là:
-
Xác nhận thẩm định dựa trên các biểu mẫu không được chọn
trên máy chủ Exchange Client Access
-
Kích hoạt Outlook Anywhere trên máy chủ Exchange Client
Access
-
Yêu cầu các truyền thông kênh an toàn (SSL) cho Web site
-
Để xác nhận rằng thẩm định dựa trên các biểu mẫu không được
chọn trên một Exchange CAS, trong Exchange Management Console, bạn mở rộng
phần Server Configuration, sau đó kích Client Access.
Chọn máy chủ Client Access của bạn sau đó chọn owa (Default Web Site)
trên cửa sổ Outlook Web Access. Trong cửa sổ này, bạn kích Properties
bên dưới owa (Default Web Site).
Hình 3
-
Chọn cửa sổ Authentication và xác nhận
rằng dòng dưới đây đã được chọn: Use one or more of the following
standard authentication methods và Basic authentication
(password is sent in clear text). Kích OK.
Hình 4
-
Xem lại hộp thoại Microsoft Exchange Warning và kích
OK. Với các thay đổi mà chúng ta vừa thực hiện, bạn phải khởi
động lại Internet Information Services (IIS). Để khởi động lại IIS, bạn chạy
lệnh dưới đây: "iisreset /noforce".
Hình 5
-
Lặp lại các bước từ 1-3 cho các trang dưới đây:
Exchange (Default Web Site), Exchweb (Default Web Site),
và Public (Default Web Site).
-
Để kích hoạt Outlook Anywhere trên máy chủ Client Access
của bạn, trong Exchange Management Console, mở rộng phần Server
Configuration, sau đó kích Client Access. Chọn máy
chủ Client Access của bạn. Trong cửa sổ này, kích Enable Outlook
Anywhere ở bên dưới tên máy chủ mà bạn vừa chọn. Nhập tên cấu hình mà
máy khách sẽ sử dụng để kết nối với máy chủ Client Access trong trường
External Host name. Tên này phải phù hợp với tên chung hoặc FQDN được
sử dụng trong chứng chỉ máy chủ được cài đặt trên máy chủ ISA. Xác nhận rằng
phương pháp thẩm định mở rộng được thiết lập là NTLM authentication
và kích Enable.
Hình 6
-
Để yêu cầu Web site chỉ chấp nhận cho các truyền thông kênh
an toàn, bạn hãy theo bước 3 từ phần trước (Cấu hình
Exchange 2003 Front-End) cho tất cả các thư mục ảo được đề cập
/owa.
Cơ bản về thẩm định ISA
Trước khi vào cấu hình phần các nguyên tắc, chúng ta hãy xem
cách ISA Server tiền thẩm định các yêu cầu máy khách như thế nào.
Hình 7
Bước 1, xác nhận các thông tin máy khách:
máy khách sẽ gửi yêu cầu kết nối đến máy chủ Outlook Web Access trong mạng bên
trong. Máy khách cũng cung cấp các thông tin quan trọng trong biểu mẫu HTML.
Bước 2 và 3, gửi các thông tin: máy chủ ISA
gửi các thông tin đến bộ cung cấp thẩm định như bộ điều khiển miền cho thẩm định
Windows tích hợp trong Active Directory, hoặc máy chủ RADIUS, nhận được phúc đáp
từ bộ cung cấp thẩm định mà người dùng được thẩm định.
Bước 4, ủy nhiệm thẩm định: máy chủ ISA
chuyển tiếp yêu cầu của máy chủ đến máy chủ Outlook Web Access, và tự thẩm định
bản thân nó với máy chủ Outlook Web Access bằng các thông tin của máy khách. Máy
chủ Outlook Web Access sẽ hợp lệ lại các thông tin này bằng cách sử dụng cùng
một bộ cung cấp thẩm định. Máy chủ Web phải được cấu hình để sử dụng cơ chế thẩm
định hợp với phương pháp ủy nhiệm đã được sử dụng bằng máy chủ ISA.
Bước 5, đáp ứng máy chủ: máy chủ Outlook Web
Access gửi một đáp ứng trả lại phía máy khách, đáp ứng này bị chặn bởi máy chủ
ISA.
Bước 6, việc chuyển tiếp đáp ứng: máy chủ
ISA sẽ chuyển tiếp đáp ứng đến máy khách. Bạn phải nhớ rằng sự hợp lệ Active
Directory chỉ có thể xảy ra khi máy chủ ISA là một thành viên miền (cùng tên
miền với bộ điều khiển miền hoặc trong một miền tin cậy). Khi máy chủ ISA của
chúng ta ở trong cấu hình nhóm làm việc thì chúng ta sẽ phải sử dụng RADIUS hoặc
LDAP.
Để sử dụng RADIUS, bạn có thể cài đặt dịch vụ ISA trên máy
chủ thành viên Windows 2003 trên mạng bên trong.
Máy chủ ISA có thể kết nối đến một máy chủ LDAP theo cách
được mô tả trong bảng dưới đây:
Kết nối
Cổng
Yêu cầu tên miền Active Directory
Hỗ trợ tùy chọn thay đổi mật khẩu
LDAP
389
Yes
No
LDAPS
636
Yes
Yes
LDAP using global catalog
3268
No
No
LDAPS using global catalog
3269
No
No
Bảng 1
Để sử dụng LDAPS hoặc LDAPS using global catalog, chứng chỉ
máy chủ phải được cài đặt trên máy chủ LDAP và chứng chỉ gốc từ CA đang đưa ra
phải được cài đặt tên máy chủ ISA.
Ở đây chúng tôi sử dụng LDAP vì vậy sẽ liệt kê các bước cần
thiết để cấu hình phương pháp thẩm định này:
-
Mở giao diện ISA Firewall và mở rộng nút Arrays,
sau đó mở phần mảng tên. Mở rộng nút Configuration và kích
Genera. Trong cửa sổ ở giữa, kích liên kết RADIUS and
LDAP Servers.
Hình 8
-
Trên tab LDAP Servers Sets, kích
Add để mở hộp thoại Add LDAP Server Set. Trong
LDAP Server Set bạn đánh tên của miền.
-
Kích Add, để bổ sung thêm tên LDAP server
hoặc địa chỉ IP. Trong tên Server, chỉ định DC và kích OK.
Chúng ta cũng phải cung cấp các thông tin người dùng đã được sử dụng để truy
cập Active Directory. Bạn không cần sử dụng tài khoản quản trị miền, một tài
khoản người dùng thông thường cũng có thể được sử dụng ở đây. Kích OK
để đóng hộp thoại Add LDAP Server Set.
Hình 9
-
Kích New để mở hộp thoại New LDAP
Server Mapping. Trong Login expression, bạn đánh
DOMAIN\*. Trong LDAP server set, chọn tên miền được định
nghĩa trước sau đó kích OK.
Hình 10
-
Kích Close để đóng cửa sổ Authentication
Servers
Kết luận
Qua đây ta đã cấu hình được Exchange CAS/Front-End và ISA
Server có cơ chế thẩm định được yêu cầu đang làm việc, chúng ta có thể chuyển
sang các nguyên tắc cấu hình. Vấn đề này sẽ được chúng tôi giới thiệu cho các
bạn trong phần tiếp theo
Theo QTM
Source Cấu hình Exchange Client Access với ISA 2006 (Phần 2): ThongTinBaoMat.Com,Quantrimang, MsExchangeCấu hình Exchange Client Access với ISA 2006 (Phần 2) Tags
Bao mat | virus | phần mềm | diệt | | ưa chuộng Những bài viết tương tự Cấu hình Exchange Client Access với ISA 2006 (Phần 2):
Cấu hình Exchange Client Access với ISA 2006 (Phần 1) | Bảo mật FTP bằng Firewall ISA 2006 (P.2) | Bảo mật FTP bằng Firewall ISA 2006 (P.1) | Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.1) | Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2) | Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1 | Free VPN Client 1.4 | Phần mềm miễn phí bảo vệ máy tính và sự riêng tư | 5 mẹo giúp bảo vệ dữ liệu khỏi bị xâm phạm | Hacker Nga tấn công các tỷ phú Mỹ |
