Введение.
При использовании в сети двух серверов Exchange 2003 нужно принять несколько важных решений по поводу аутентификации пользователей OWA (Outlook Web Access – web-доступ к Outlook). Одним из них является использование web-формы аутентификации. Как многие из вас знают, такой вид аутентификации предоставляет ряд преимуществ, таких как страница ввода учетных записей пользователя сайта OWA. На ней вы можете выбрать личный или общий компьютер (для каждого из них используется разное время хранения файлов cookie), а также использование расширенной (premium) или основной (basic) версии OWA (см. Рисунок 1).
Если вы не хотите применять web-форму для аутентификации, вы можете использовать внешний Exchange-сервер для проверки пользователей OWA (двойная аутентификации), или перевод запроса на аутентификацию на внутренние серверы (сквозная аутентификация).
В независимости от того, какой метод вы выберете, внутренние серверы всегда будут участвовать в аутентификации пользователей. Компания Microsoft рекомендует использовать двойную аутентификацию, в которой и внешний, и внутренние серверы аутентифицируют пользователей. Это довольно разумно, поскольку пользователи не получат доступ к внутренним серверам, если они не пройдут аутентификацию на внешнем сервере. В случае выбора двойной аутентификации вы должны включить базовую аутентификацию на внешнем и внутренних серверах, но только в том случае, если внешний сервер расположен в пограничной зоне (также называемой демилитаризованной зоной или незащищенной зоной). Если они расположены во внутренней сети, это необязательно.
Замечание:
Если вы не используете двойную аутентификацию, неявный вход не будет работать. Это значит, что каждый пользователь должен будет указывать полный путь URL, включая имя для доступа к почтовому ящику. Явный вход будет работать с любым типом аутентификации. Другим недостатком использования сквозной аутентификации является то, что запросы к общим папкам не будут сбалансированы по нагрузке.
Если внешний сервер расположен в пограничной зоне, и в вашей сети запрещен трафик удаленного запроса процедур (RPC) из пограничной сети через внутренний брандмауэр, вам придется перенаправлять запросы на аутентификацию на внутренние серверы (сквозная аутентификация). Не стоит говорить, что использовать сквозную аутентификацию можно, только если у вас нет возможности использовать двойную аутентификацию. Поскольку считается, что более безопасно разрешать трафик RPC через внутренний брандмауэр, чем разрешать анонимные запросы на внутренние серверы, вам следует правильно оценить использование обоих методов (в случае, если ваша политика безопасности не разрешает трафик RPC через внутренний брандмауэр).
Замечание:
Не рекомендуется располагать внешние серверы в пограничной зоне. Лучше размещать их во внутренней сети, и, если это возможно, публиковать нужные службы Exchange через ISA-сервер, расположенный в пограничной зоне. Раньше практиковалось использование внешних серверов в пограничной зоне, при этом на внутреннем брандмауэре открывались все необходимые порты. Поскольку внешний сервер связывается с внутренними серверами и серверами глобального каталога внутренней сети, требовалось открыть лишь несколько портов. Альтернативой служит настройка IPSec, но такое решение немного сложно. Даже если у вас нет установленного ISA-сервера, все равно следует располагать внешний сервер во внутренней сети и открывать на внутреннем брандмауэре необходимые порты.
Следует также отметить, что на внешнем сервере при аутентификации клиентов поддерживается только метод базовой аутентификации. То же самое происходит и между внешним и внутренним серверами. Поэтому обязательно нужно использовать SSL-шифрование между клиентом и внешним сервером. Если этого не сделать, любая программа-анализатор трафика на вашем брандмауэре Интернета может просматривать входящие и исходящие сообщения электронной почты OWA-клиента. Злоумышленник может также прочесть имя и пароль любого пользователя, посылаемые клиентом внешнему серверу.
Настройка двойной аутентификации
Для использования двойной аутентификации нужно разрешить базовую аутентификацию на внешнем сервере. Для этого следуйте следующим инструкциям:
- Откройте консоль управления сервером Exchange
- Раскройте Servers (Серверы) | Server (Сервер) | Protocols (Протоколы) | HTTP | Exchange Virtual Server(Виртуальный серверExchange)
- Правой кнопкой нажмите на виртуальную папку Exchange и выберите пункт Properties (Свойства)
- Выберите закладку Access (Доступ), затем Authentication (Аутентификация)
- Отметьте Basic authentication (password is sent in clear text) (Базовая аутентификация (пароль посылается в явном виде)).
- Дважды нажмите OK и закройте консоль управления сервером Exchange.
Как видно из Рисунка 4, вы можете указать домен по умолчанию. Рекомендуется вписать имя вашего домена по умолчанию в это поле, поскольку это позволит пользователю соединяться с OWA-сайтом без указания имени домена как части имени пользователя (домен\имя_пользователя). Вы можете разрешить пользователю использовать основное имя пользователя (UPN - User Principal Name). Для этого вставьте в поле имени домена по умолчанию обратный слэш «\». После настройки UPN пользователи смогут заходить на сайт, набирая в поле для ввода имени @.com.
Замечание:
При использовании UPN пользователи все равно могут использовать для ввода формат домен\имя_пользователя.
Если вы выберете аутентификацию с использованием web-форм, возможность использовать UPN будет включена автоматически.
Настройка сквозной аутентификации
Для настройки внешнего сервера для перевода запросов на аутентификацию на внутренние серверы (сквозная аутентификация), выполните следующее:
1. Откройте консоль управления сервером Exchange
2. Раскройте Servers (Серверы) | Server (Сервер) | Protocols (Протоколы) | HTTP | Exchange Virtual Server(Виртуальный серверExchange)
3. Правой кнопкой нажмите на виртуальную папку Exchange и выберите пункт Properties (Свойства)
4. Выберите закладку Access (Доступ), затем Authentication (Аутентификация) (см. Рисунок 5)
5. Отметьте Anonymous access (Анонимный доступ) и удалите отметку с пункта Basic authentication (password is sent in clear text) (Базовая аутентификация (пароль посылается в явном виде)).
6. Дважды нажмите OK и закройте консоль управления сервером Exchange.
Резюме.
В этой статье я объяснил, какой метод аутентификации рекомендуется при использовании в сети внешнего и внутренних серверов при ненастроенной аутентификации через web-форму и отсутствии ISA-сервера. Я также шаг за шагом описал процессы настройки каждого из методов. Хотя вы и получите дополнительную безопасность при использовании двойную аутентификацию, я настоятельно рекомендую подумать о внедрении ISA-сервера, поскольку его использование является оптимальным способом защиты окружения Exchange-сервера. Помимо всего прочего, ISA-сервер предоставляет фильтрацию на уровне приложений, а также дает возможность использования пред-аутентификации пользователей OWA без использования программы Single Sign-On (SSO) (используя web-формы аутентификации похожие на web-формы аутентификации Exchange-сервера). На самом деле, можно совсем избавиться от внешнего сервер Exchange и внедрить ISA-сервер. Так вы сможете публиковать внутренние Exchange-серверы напрямую.
