Problem: Radius-Authentifizierung bei Exchange-Webclientzugriffen mit ISA 200x SE

Ähnliche Dokumente
ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Multiple Exchange Vero ffentlichungen mit einer Zugangs-URL

Installation Remotedesktopgateway, Rolle auswählen: Karsten Hentrup An der Schanz Aachen

Step by Step Webserver unter Windows Server von Christian Bartl

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Step by Step VPN unter Windows Server von Christian Bartl

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

SAN-Zertifikate anfordern und erstellen

Die Zertifikatdienste auswählen und mit weiter fortfahren. Den Hinweis mit JA bestätigen.

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Electronic Systems GmbH & Co. KG

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Gruppenrichtlinien und Softwareverteilung

Windows 2008R2 Server im Datennetz der LUH

! " # $ " % & Nicki Wruck worldwidewruck

Einrichtung von VPN-Verbindungen unter Windows NT

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Benutzerkonto unter Windows 2000

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

FastViewer Remote Edition 2.X

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Anleitung für -Client Outlook 2000 mit SSL Verschlüsselung

Windows Live Mail Konfiguration IMAP

Arbeiten mit dem Outlook Add-In

Kostenstellen verwalten. Tipps & Tricks

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Anleitung Einrichtung Hosted Exchange. Zusätzliches Outlookprofil einrichten

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Tutorial -

Clientkonfiguration für Hosted Exchange 2010

CADEMIA: Einrichtung Ihres Computers unter Windows

Microsoft Dynamics NAV 2013 R/2 Installationsanleitung. Inhalt: Begleitmaterial des ERP Übungsbuchs:

So richten Sie Outlook Express für Ihre s ein

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Whitepaper. Produkt: combit address manager / combit Relationship Manager. Datenabgleich zwischen Notebook und Desktop-PC / Server

Installation und Einrichtung des Microsoft SQL Servers 2005 Express. Abb.1.0

Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

Installation des Zertifikats am Beispiel eines Exchang -Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Magento MultiStore einrichten unter ispcp

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

OutLook 2003 Konfiguration

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

SharePoint Demonstration

Netzwerk einrichten unter Windows

FL1 Hosting FAQ. FL1 Hosting FAQ. V1.0 (ersetzt alle früheren Versionen) Gültig ab: 18. Oktober Telecom Liechtenstein AG

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Reporting Services und SharePoint 2010 Teil 1

PC-Kaufmann Supportinformation - Proxy Konfiguration für Elster

Einrichtung -Account

So richten Sie Outlook Express ein. Einrichten von Outlook Express (hier am Beispiel von Outlook Express 6) für den Empfang meiner s

teamsync Kurzanleitung

Windows 2008 Server im Datennetz der LUH

Urlaubsregel in David

Softwareverteilung mit Gruppenrichtlinien

Installation & Konfiguration von Microsoft Outlook

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Outlook Express: Einrichtung Account

Installation SQL- Server 2012 Single Node

HANDOUT VON: EIGENES SSL-ZERTIFIKAT FÜR DEN WHS. Copyright 2011 by s.winkler all rights reserved!

Kurzanleitung zum Einrichten von konten für Outlook Express 6

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Citrix-Freigabe Sage Office Line Evolution 2012

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

inviu routes Installation und Erstellung einer ENAiKOON id

Drägerware.ZMS/FLORIX Hessen

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

Electronic Systems GmbH & Co. KG

3 Installation von Exchange

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

M-net -Adressen einrichten - Apple iphone

Collax PPTP-VPN. Howto

COMPUTER MULTIMEDIA SERVICE

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Der Verzeichnispfad unter Windows 7 32bit zur Programmdatei Mail.exe lautet: C:\Programme\T-Online\T-Online_Software_6\ \Mail.

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

-Konto Einrichtung. Webmail. Outlook Express. Outlook

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

Nutzung der VDI Umgebung

Microsoft ISA Server 2006

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten

" -Adresse": Geben Sie hier bitte die vorher eingerichtete Adresse ein.

Schritt 2: Konto erstellen

Anleitung Captain Logfex 2013

Der neue persönliche Bereich/die CommSy-Leiste

Intrexx unter Windows Server 2008

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

Transkript:

Problem: Radius-Authentifizierung bei Exchange-Webclientzugriffen mit ISA 200x SE Im Rahmen eines Kundensupports habe ich mich mit der Radius-Implementation auf einem ISA Server 2004 Standard Edition (SP3) beschäftigt. Ziel der Aufgabe ist es ein sicheres Webpublishing für Exchange HTTP/RPC (aka Outlook- Anywhere bei Exchange 2007) mittels Radius-Authentifizierung zu realisieren. Ein spezieller Kundenwunsch sollte berücksichtigt werden: Auf der Webveröffentlichungsregel sollen ISA-Benutzersätze verwendet werden, die wiederum auf Radius-Gruppen verweisen. Wichtige Information vorab: Dieser Konfigurationswunsch ist meiner Meinung nach nicht möglich! Ebenfalls gegengetestet wurde dieses Szenario von mir mit dem aktuellen ISA Server 2006. Folgende Ausgangssituation ist gegeben (der DC sowie der Domain-PC sind in einer Windows-Domäne, der ISA hingegen ist Mitglied einer Arbeitsgruppe. Zu Testzwecken läuft ebenfalls auf dem DC ein Exchange Server 2003.): Bei dem DC handelt es sich um einen Windows Server 2003 Enterprise Edition Server, dessen Domänenfunktionsebene auf Windows Server 2003 hochgestuft wurde (wichtig, falls später Zugriffe über RAS-Richtlinien gesteuert werden sollen). Auf dem DC werden die IAS-Dienste (RADIUS) nachinstalliert (Windows-Komponenten hinzufügen entfernen / Netzwerkdienste / Internetauthentifizierungsdienst).

Nach der Installation findet sich in der Verwaltung eine neue Verknüpfung für den Internetauthentifizierungsdienst.

Hierbei ist mir in zwei verschiedenen Szenarien aufgefallen, das der IAS nach der Installation nicht gestartet werden konnte: In der Ereignisanzeige wird dies mit einem Socketkonflikt bezeugt (ich schließe hier allerdings nicht aus, dass die Problematik aufgrund meiner VMs entstanden ist und nicht unbedingt woanders reproduzierbar ist):

Nach einem beherzten Neustart der Maschine läuft der IAS einwandfrei und in der IAS-Konsole wird der IAS-Server im AD registriert: Danach wird der ISA-Server als Radius-Client angelegt:

Folgende Einstellungen werden vergeben: Der Clienthersteller wird auf Microsoft gestellt. Die Sicherheit der Implementation steht und fällt mit der Komplexität des zu verwendenden gemeinsamen geheimen Schlüssels. Ebenfalls wird die Checkbox für den Message Authenticator gesetzt.

Final schaut das Ganze in der Konsole so aus: Daraufhin wird eine neue RAS-Richtlinie erstellt:

Eine benutzerdefinierte Richtline wird erstellt, der wiederum ein hübscher Name gegeben wird. Der Richtlinie werden in meinem Beispiel im nächsten Dialog folgende Bedinungen hinzugefügt. Als Authentication-Type wird PAP verwendet, da der ISA dies als einziges beherrscht. Als NAS-IP-Address wird die interne IP des ISAs eingetragen und als letzte Bedingung wird eine Windows-Gruppe hinzugefügt (in diesem Szenario die globale Gruppe radius aus meiner Windows-Domäne firma ):

Dieser Richtlinie wird die RAS-Berechtigung erteilt:

Nun bearbeite ich noch das Einwählprofil: Als Authentifizierung wird PAP eingesetzt:

Als Verschlüsselung wird Keine Verschlüsselung eingesetzt, sicher ist sicher : Die neue RAS-Richtlinie schaut in der Konsole so aus:

Die Benutzerkonten im AD sollten auf der Registerkarte Einwählen wie folgt konfiguriert sein: Natürlich ist für die Zugriff wichtig, dass die Benutzer passend in Gruppen organisiert werden. In diesem Szenario ist das Benutzerkonto test der Gruppe radius zugeordnet:

Nun wechseln wir zu dem ISA 2004 SE Server. Hier wird als Erstes der RADIUS-Server definiert (unter Konfiguration / Allgemein): Gemäß den vorher festgelegten Eigenschaften wird die RADIUS-Server-Anbindung konfiguriert:

Ab diesem Punkt ist die RADIUS-Konfiguration beendet und man sollte nun einwandfrei Firewallrichtlinien in Form von Webproxyclientzugriffs- und Webveröffentlichungsregelwerk erstellen können, die mittels RADIUS authentifiziert werden können. Der Fokus meiner Tests war auf das HTTP/RPC-Veröffentlichungsszenario ausgelegt. Zu Testzwecken habe ich vorher eine OWA-Webveröffentlichung durchgeführt um die passenden Services mit einem Browser gegentesten zu können. Ich möchte hier an dieser Stelle nicht weiter auf die Webveröffentlichungsszenarien eingehen, da diese bereits in anderen Dokumentationen hinreichend dargestellt werden. Kurz und bündig zum Thema OWA: die Webveröffentlichungsregel habe ich mit dem dafür im ISA 2004 (SP3) vorgesehenen Assistenten durchgeführt. SSL-Bridge, Standard-Authentifizierung auf dem Weblistener und einfache Delegierung der Standard-Authentifizierung wurde eingerichtet. Änderungen der Regel, die die Radiusanbindung betreffen sehen wie folgt aus. Es wurde ein neuer Benutzersatz für die RADIUS Authentifizierung angelegt:

Diesem Benutzersatz wurde auf meiner OWA-Veröffentlichungsregel ausschließlich der Zugriff gewährt:

Nicht zu vergessen, die RADIUS-Authentifizierung auf dem Weblistener ermöglichen:

Zugriff via Browser aus Sicht des Internets auf meine Testmaschine mittels Testurl: Nach erfolgreicher Authentifizierung erscheint das bekannte OWA-Interface:

Prima! OWA-Zugriffe via Browser mit RADIUS-Authentifizierung auf dem Weblistener und Standard-Authentifizierungs- Delegierung funktionieren einwandfrei. Nur die in dem Benutzersatz festgelegten Benutzer können sich authentifizieren, der Rest muss leider draußen bleiben. Auf zum Thema HTTP/RPC. Auch hier spare ich mir eine detaillierte Beschreibung der einzelnen Konfigurationsschritte des ISAs bzgl. des Regelwerks. Zur Vorbereitung des Szenarios: RPC-über-HTTP-Proxy wurde auf dem Exchange 2003 installiert. Passende Registry-Hacks auf Exchange und GCs wurden durchgeführt. Auf dem virtuellen Verzeichnis /rpc der passenden Website wurde die Standardauthentifzierung eingeschaltet und der anonyme Zugriff deaktiviert, sowie 128bit SSL verlangt. Ein interner Zugriff funktioniert von dem Domain-PC aus mit Outlook 2003 einwandfrei (serverintra.firma.local ist der interne DC / Exchange): Flux eine neue sichere Webveröffentlichung für den HTTP/RPC-Zugriff erstellt, mit der ausschließlich das Verzeichnis /rpc veröffentlicht wird. Die restlichen Settings (SSL-Bridge, RADIUS auf dem Weblistener, Standard-Authentifzierungs- Delegierung) sind identisch wie bei der OWA-Veröffentlichung. Beim Zugriff aus dem Internet mit Outlook 2003 erscheint die übliche Authentifizierungsmaske:

Die erfolgreiche Authentifizierung wird in der Ereignisanzeige auf dem IAS/DC angezeigt: Aber der Zugriff bleibt trotzdem leider verwehrt, das externe im Internet befindliche Outlook 2003 zeigt nach kurzer Zeit wieder obigen Authentifizierungsdialog an. Auf der HTTP/RPC-Veröffentlichungsregel wird der radius -Benutzersatz entfernt und durch den vordefinierten Benutzersatz Alle Benutzer ersetzt:

Wie vorher auch wird zeigt das externe Outlook 2003 einen Authentifizierungsdialog an (welcher nun direkt von der Exchange-Website angefordert wird): Nach erfolgreicher Authentifizierung TATA funktioniert der Zugriff einwandfrei: Der Zugriff bleibt aber aus Sicht des ISAs leider anonym:

Eine weitere von mir getestete Variante, es wird der Benutzersatz Alle authentifizierten Benutzer verwendet: Reichlich verwundert, aber dennoch nicht völlig verzweifelt findet sich nun folgende authentifizierte Sitzung in der Überwachung wieder: Um versionsspezifische Unterschiede ausschließen zu können wurde der ISA Server 2004 SE durch einen ISA Server 2006 SE ersetzt. Die Grundkonfiguration unterscheidet sich nur marginal. Leider bleibt das Authentifizierungsverhalten identisch. Bezüglich der RADIUS-Integration ändern sich nur folgende Punkte.

Die Weblistener-Konfiguration wurde überarbeitet: Außerdem wurde die Authentifizierungsdelegierung gründlich überarbeitet:

Fazit: Eine HTTP/RPC Veröffentlichung über einen ISA Server 200x Standard Edition kann nur benutzerkontenbasiert gesteuert werden, indem per RAS-Richtlinie den passenden Benutzer(gruppen) die Einwahlberechtigung erteilt wird. Sobald mit Benutzersätzen auf der Veröffentlichungsregel gearbeitet wird, funktioniert der authentifizierte Zugriff im Gegensatz zu OWA-Veröffentlichung leider nicht mehr. Die einzige Ausnahme stellt hier der vordefinierte Benutzersatz Alle authentifizierten Benutzer dar. Sollte es wichtige ergänzende Informationen zu diesem Szenario geben, bitte kurze Email an mich.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback