Publication d'applications sécurisée
Microsoft® Internet Security and Acceleration (ISA) Server 2006 est la passerelle de sécurité qui assure la protection de vos applications cruciales contre les menaces liées à Internet. ISA Server augmente les capacités de votre entreprise en fournissant un accès sécurisé aux applications et aux données Microsoft. Sécurisez l'infrastructure de vos applications Microsoft en protégeant les applications, services et données de votre entreprise sur l'ensemble des couches réseau grâce à la vérification des paquets avec état, au filtrage de la couche des applications et aux outils complets de publication. Rationalisez votre réseau en simplifiant les expériences administrateur et utilisateur à l'aide d'une architecture unifiée de pare-feu et de réseau privé virtuel (VPN), qui inclut la mise en cache Web et la gestion de la bande passante, un moteur optimisé de filtrage de pare-feu et des contrôles d'accès complets. Assurez la sécurité de votre environnement informatique pour réduire les risques et les coûts liés à la sécurité et éliminer l'influence négative des logiciels malveillants et des pirates sur votre entreprise à l'aide d'outils complets permettant d'analyser et de bloquer les contenus, les fichiers et les sites Web infectés.
Ce document présente les nouvelles fonctionnalités et les améliorations :
| • | Scénarios de publication d'applications sécurisée |
| • | Publication de Microsoft Office SharePoint® Portal Server |
| • | Publication d'accès client Web Microsoft Exchange |
| • | Accès Web Microsoft Outlook® |
| • | Microsoft Office Outlook 2003 RPC sur accès HTTP |
| • | Groupes de serveurs pour équilibrer la charge entre les serveurs Web |
| • | Authentification unique (single sign-on - SSO) |
Sommaire
Procédures détaillées de publication d'applications sécurisée
Annexe A : Fonctions supplémentaires de publication
Annexe C : Mappage des accès de substitution
Annexe D : Conseils relatifs à la sécurité
Annexe E : Conseils relatifs à l'administration
Scénario
Contoso, Ltd souhaite fournir à ses employés, lorsqu'ils ne se trouvent pas au bureau, un accès simple et sécurisé aux applications métier suivantes :
| • | Outlook Web Access |
| • | RPC sur HTTP pour les clients Outlook |
| • | SharePoint Portal Server et Windows SharePoint Services |
Contoso souhaite également améliorer les relations professionnelles avec les partenaires et les fournisseurs en assurant un accès à ces applications.
Actuellement, les utilisateurs ont uniquement accès à ces applications via une connexion VPN d'accès client. Pour des raisons de sécurité, Contoso ne souhaite pas autoriser l'accès direct à ces applications depuis Internet, car des attaques peuvent se dissimuler dans les connexions SSL (Secure Sockets Layer). Contoso ne souhaite pas non plus que les serveurs internes soient directement accessibles depuis Internet.
Les connexions VPN d'accès client peuvent être relativement lentes et l'ordinateur client nécessite une configuration correcte de sa connexion VPN. De même, lorsque les employés ne sont pas sur site, ils peuvent se trouver derrière un pare-feu qui bloque les connexions VPN d'accès client. Ces restrictions réduisent l'efficacité de l'accès aux informations importantes en dehors du bureau. La publication avec ISA Server 2006 fournit un accès simple et sécurisé aux applications.
Solution
La solution prescrite consiste à publier des applications avec ISA Server 2006. La communication depuis des clients externes vers l'ordinateur ISA Server et depuis l'ordinateur ISA Server vers le serveur publié est crypté à l'aide d'une connexion SSL. ISA Server n'est pas connecté au domaine et effectue l'authentification via une connexion LDAP (Lightweight Directory Access Protocol) au domaine.
Il est possible d'utiliser ISA Server 2006 Édition Standard ou ISA Server 2006 Édition Entreprise dans cette solution.
Sécurité
ISA Server 2006 traite les problèmes de Contoso en mettant les applications à disposition sur Internet de manière sécurisée.
Accès direct au serveur impossible via Internet
Lorsque vous publiez une application via ISA Server 2006, vous protégez le serveur contre un accès externe direct, car l'utilisateur n'a pas accès au nom et à l'adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server, qui transmet ensuite la demande au serveur en fonction des conditions de la règle de publication du serveur.
Vérification des paquets SSL
Le pontage SSL protège contre les attaques cachées dans des connexions cryptées SSL. Dans le cadre d'applications Web SSL, ISA Server 2006 reçoit la demande du client, puis la décrypte, la vérifie et termine la connexion SSL avec l'ordinateur client. Les règles de publication Web déterminent comment ISA Server transmet la demande de l'objet au serveur Web effectuant la publication. Si la règle de publication Web sécurisée est configurée pour transmettre la demande via le protocole HTTPS (Secure HTTP), ISA Server démarre une nouvelle connexion SSL avec le serveur publié. L'ordinateur ISA Server étant à présent un client SSL, il faut que le serveur Web effectuant la publication réponde en envoyant un certificat côté serveur.
Authentification
ISA Server 2006 vous permet de configurer une authentification basée sur les formulaires pour les applications prises en charge. Une authentification basée sur les formulaires permet l'amélioration des méthodes d'authentification requises, l'authentification à deux facteurs, la vérification de la disponibilité des pièces jointes, ainsi qu'une connexion centralisée.
ISA Server 2006 prend en charge l'authentification LDAP, ce qui vous permet de placer l'ordinateur ISA Server dans le réseau de périmètre (également appelé DMZ, zone démilitarisée et sous-réseau filtré). L'ordinateur ISA Server ne se joint pas au domaine, vous n'avez donc plus à ouvrir tous les ports requis pour établir des communications de service d'annuaire Active Directory®. Par contre, vous devez toujours ouvrir des ports de catalogue globaux ou LDAP entre l'ordinateur ISA Server et le contrôleur de domaine Active Directory configuré. Maintenir une configuration de groupes de travail sur vos ordinateurs ISA Server réduit la surface d'attaque et simplifie le déploiement de ISA Server. Pour plus d'informations sur l'authentification, voir « Authentication in ISA Server 2006 » (en anglais) sur le site Web Microsoft TechNet.
Simplicité d’utilisation
ISA Server 2006 propose différentes méthodes pour faciliter l'utilisation des connexions VPN d'accès client :
| • | L'accès aux applications publiées s'effectue via un navigateur Web. |
| • | Les applications sont à présent plus largement disponibles et plus accessibles que les VPN d'accès à distance grâce aux connexions SSL. Vous pouvez accéder aux applications publiées derrière des pare-feu depuis des connexions utilisant une traduction d'adresses réseau (NAT) et depuis d'autres périphériques réseau pouvant en revanche bloquer les connexions VPN d'accès à distance. |
| • | La connexion SSL facilite et accélère le processus de reconnexion. Si votre connexion à Internet est interrompue, vous n'êtes plus obligé de vous reconnecter via le numéroteur VPN d'accès à distance. Une fois la connexion rétablie, vous pouvez revenir à votre application publiée. |
| • | Les partenaires, fournisseurs et employés en dehors du bureau peuvent facilement accéder aux informations requises en toute sécurité. |
Topologie du réseau
Les scénarios supposent que vous allez déployer cette solution dans un environnement de laboratoire disposant des deux réseaux suivants :
| • | Un réseau simulant votre réseau d'entreprise, appelé HQ_Net. Dans la procédure, le réseau HQ_Net s'étend sur la plage d'adresses suivante : de 10.0.0.1 à 10.0.0.254. |
| • | Un réseau simulant Internet, appelé Test_Internet. Dans la procédure, le réseau Test_Internet s'étend sur la plage d'adresses suivante : de 172.16.0.0 à 172.16.255.255. |
La figure suivante représente les ordinateurs utilisés dans la procédure de fonction.
Le tableau ci-dessous fournit des informations sur les ordinateurs utilisés dans la procédure de fonction.
| Nom de l’ordinateur | Système d'exploitation | Logiciel supplémentaire | Commentaires |
dc01 | Microsoft® Windows Server™ 2003 avec Service Pack 1 (SP1) | Contrôleur de domaine, système DNS (Domain Name System), services Internet (IIS), autorité de certification (CA) | Contrôleur de domaine et autorité de certification interne |
exchange01 | Windows Server 2003 SP1 | Microsoft Exchange Server 2003 SP1, IIS | Serveur Exchange principal |
owa01 | Windows Server 2003 SP1 | Exchange Server 2003 SP1, IIS | Serveur Exchange frontal |
sps01 | Windows Server 2003 SP1 | Microsoft Office SharePoint Portal Server 2003 avec Service Pack 2, IIS | Aucun |
isa01 | Windows Server 2003 SP1 | ISA Server 2006 Édition Standard ou Édition Entreprise | Aucun |
client01 | Windows® XP Professionnel avec Service Pack 2 (SP2) | Microsoft Office Word 2003, Office Excel 2003 et Office Outlook 2003 | Aucun |
storage01 | Windows Server 2003 SP1 | ISA Server 2006 Édition Entreprise | Serveur de stockage de configuration requis uniquement pour Édition Entreprise |
router01 | Windows Server 2003 SP1 | IIS, DNS, CA | Routage Internet simulé, DNS et services CA |
Les considérations suivantes s'appliquent :
| • | Un ordinateur appelé dc01 représente le contrôleur de domaine pour le réseau HQ_Net et fournit les services suivants :
| ||||||||
| • | Un ordinateur appelé exchange01 fournit des services de messagerie pour corp.contoso.com. Cet ordinateur est membre du domaine. | ||||||||
| • | Un ordinateur appelé owa01 fournit Outlook Web Access pour les utilisateurs distants. Cet ordinateur est membre du domaine. | ||||||||
| • | Un ordinateur appelé sps01 fournit des services de portail SharePoint Portal Server 2003 pour les utilisateurs distants. Cet ordinateur est membre du domaine. | ||||||||
| • | Un ordinateur appelé storage01 représente le serveur de stockage de configurations pour l'entreprise, qui est nécessaire avec ISA Server Édition Entreprise. Cet ordinateur est membre du domaine. Le serveur de stockage de configurations a été installé avec un certificat d'authentification sur un canal crypté SSL. | ||||||||
| • | Un ordinateur appelé isa01 fournit un pare-feu et des services de publication. Cet ordinateur est membre d'un groupe de travail. Vous devez configurer l'authentification LDAP pour que ISA Server puisse authentifier les utilisateurs du domaine. Deux cartes réseau sont installées sur l'ordinateur isa01 :
| ||||||||
| • | Pour ISA Server 2006 Édition Entreprise, les considérations suivantes s'appliquent :
| ||||||||
| • | La solution suppose qu'un tableau nommé « main » (principal) a été créé avec les paramètres de configuration suivants : | ||||||||
| • | Storage01 a été ajouté à l'ensemble d'ordinateurs Ordinateurs de gestion à distance. | ||||||||
| • | L'authentification sur la page Stockage de configurations a été définie sur Authentifier sur canal crypté SSL. | ||||||||
| • | isa01 a joint le tableau principal lors de l'installation de ISA Server 2006. |
Pour plus d'informations sur l'installation de ISA Server 2006, reportez-vous aux guides de démarrage rapide et guides d'installation présents sur le CD du produit.
Le tableau suivant présente trois utilisateurs, créés dans le domaine, possédant une messagerie sur exchange01.
| Prénom | Nom | Nom d'ouverture de session de l'utilisateur | Avant Windows 2000 Server | Mot de passe | Messagerie | Exchange |
Matt | Berg | mberg | Mberg | Passw0rd | Oui | exchange01 |
Jeff | Hay | Jhay | Jhay | Passw0rd | Oui | exchange01 |
Lisa | Miller | lmiller | Lmiller | Passw0rd | Oui | exchange01 |
Un ordinateur appelé router01 fournit des services DNS et CA au réseau Test_Internet. Cet ordinateur n'est pas membre du domaine.
Remarque :La configuration est similaire dans un environnement de production. Les différences résideraient dans l'utilisation du réseau externe défini par ISA Server par défaut (représentant Internet) à la place du réseau Test_Internet et dans l'utilisation de vos plages d'adresses IP réelles pour votre réseau interne et votre réseau de périmètre.
Pour plus d'informations sur l'installation de ISA Server 2006, reportez-vous aux guides de démarrage rapide et guides d'installation présents sur le CD du produit.
Procédures détaillées de publication d'applications sécurisée
Cette section traite les sujets suivants :
Configuration de ISA Server 2006 pour une authentification LDAP
Publication d'Outlook Web Access et de RPC sur HTTP
Publication de sites SharePoint
Configuration de ISA Server 2006 pour une authentification LDAP
L'authentification LDAP est similaire à l'authentification Active Directory, hormis le fait que l'ordinateur ISA Server n'est pas obligatoirement membre du domaine. ISA Server 2006 se connecte à un serveur LDAP configuré via le protocole LDAP pour authentifier l'utilisateur. Tous les contrôleurs de domaine Windows assurent également la fonction de serveur LDAP, par défaut, sans qu'aucune modification supplémentaire de la configuration ne soit nécessaire. L'authentification LDAP présente les avantages suivants :
| • | Membres du tableau Serveur ISA Server 2006 Édition Standard ou ISA Server 2006 Édition Entreprise en mode groupe de travail. Lorsque ISA Server est installé dans un réseau de périmètre, vous n'avez plus besoin d'ouvrir tous les ports requis pour appartenir au domaine. |
| • | Authentification des utilisateurs dans un domaine avec lequel aucune relation de confiance n'est établie. |
Pour plus d'informations sur LDAP, reportez-vous à l'Annexe B : Configuration LDAP
Pour configurer l'authentification LDAP, vous devez :
Création d'un ensemble de serveurs LDAP ;
Création d'un ensemble d'utilisateurs LDAP.
Création d'un ensemble de serveurs LDAP
Effectuez la procédure ci-dessous pour créer un ensemble de serveurs LDAP. Avec la version Édition Standard, effectuez la procédure sur l'ordinateur isa01. Avec la version Édition Entreprise, effectuez la procédure sur l'ordinateur storage01.
Pour créer un ensemble de serveurs LDAP
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Général :
| ||||
2. | Dans le volet d'informations, cliquez sur Spécifier serveurs RADIUS et LDAP. | ||||
3. | Dans l'onglet Ensembles de serveurs LDAP, cliquez sur Ajouter pour ouvrir la boîte de dialogue Ajouter un ensemble de serveurs LDAP. | ||||
4. | Dans le champ Nom ensemble de serveurs LDAP, entrez CorpLDAP. | ||||
5. | Cliquez sur Ajouter pour ajouter un nom de serveur LDAP ou une adresse IP. | ||||
6. | Dans le champ Nom de serveur, entrez dc01 et cliquez sur OK. | ||||
7. | Cliquez sur OK pour fermer la boîte de dialogue Ajouter un ensemble de serveurs LDAP. | ||||
8. | Cliquez sur Nouveau pour ouvrir la boîte de dialogue Nouveau mappage du serveur LDAP. | ||||
9. | Dans le champ Expression de connexion, entrez corp\*. Dans la liste déroulante Ensemble de serveurs LDAP, sélectionnez CorpLDAP, puis cliquez sur OK. | ||||
10. | Cliquez sur Fermer pour fermer la fenêtre Serveurs d'authentification. |
Pour plus d'informations sur les paramètres du serveur LDAP, reportez-vous à l'Annexe B : Configuration LDAP
Création d'un ensemble d'utilisateurs LDAP
Pour authentifier les utilisateurs sur LDAP, vous devez déterminer les utilisateurs à authentifier et l'auteur de l'authentification. Pour ce faire, vous devez créer un ensemble d'utilisateurs LDAP.
Effectuez la procédure ci-dessous pour créer un ensemble d'utilisateurs LDAP. Avec la version Édition Standard, effectuez la procédure sur l'ordinateur isa01. Avec la version Édition Entreprise, effectuez la procédure sur l'ordinateur storage01.
Pour créer un ensemble d'utilisateurs LDAP
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu : |
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom d'ensemble d'utilisateurs | Entrez LDAPUsers. |
Utilisateurs | Sélectionnez les utilisateurs à inclure dans cet ensemble | Cliquez sur Ajouter, puis sélectionnez LDAP. |
Ajoutez un utilisateur LDAP | Ensemble de serveurs LDAP Nom d'utilisateur | Sélectionnez l'ensemble de serveurs LDAP CorpLDAP dans la liste déroulante. Sélectionnez Tous les utilisateurs de cet espace de nom. Remarque Vous pouvez également spécifier des groupes ou des comptes d'utilisateurs spécifiques si vous ne souhaitez pas inclure tous les utilisateurs dans cet ensemble d'utilisateurs LDAP. |
Fin de l'Assistant Nouvel ensemble d'utilisateurs | Revoir les paramètres | Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant. |
1. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Publication d'Outlook Web Access et de RPC sur HTTP
Outlook Web Access permet au navigateur Web d'accéder au courrier électronique, à la planification (y compris la planification de groupe), aux contacts, aux tâches et aux informations de collaboration des dossiers Exchange Storage System. Outlook Web Access est utilisé par des utilisateurs à distance, à domicile et itinérants.
RPC sur HTTP permet aux utilisateurs d'accéder à la messagerie électronique avec Office Outlook 2003 via Internet. Exchange Server 2003, combiné avec Outlook 2003 et Windows Server 2003, prend en charge l'utilisation de RPC sur HTTP pour accéder aux serveurs qui exécutent Exchange Server. Grâce à RPC sur HTTP, les utilisateurs ne sont plus obligés de passer par une connexion VPN pour se connecter aux boîtes aux lettres Exchange. Les utilisateurs exécutant Outlook 2003 sur des ordinateurs client peuvent se connecter à un serveur Exchange dans un environnement d'entreprise via Internet.
Lorsque vous publiez des serveurs Outlook Web Access et RPC sur HTTP via ISA Server, vous assurez la protection du serveur Outlook Web Access et du serveur proxy RPC sur HTTP via un accès externe direct, car l'utilisateur ne peut accéder ni au nom, ni à l'adresse IP. L'utilisateur accède à l'ordinateur ISA Server, qui transmet la demande au serveur Outlook Web Access ou au serveur proxy RPC sur HTTP en fonction de la règle de publication définie sur serveur de messagerie.
De plus, lorsque vous publiez Outlook Web Access, ISA Server vous permet de configurer une authentification basée sur des formulaires, d'améliorer les méthodes d'authentification requises, d'activer l'authentification à deux facteurs, de vérifier la disponibilité des pièces jointes et de garantir une connexion centralisée.
L'Assistant Nouvelle publication Exchange Server permet également de publier Outlook Mobile Access et Exchange ActiveSync®. Outlook Mobile Access fournit aux utilisateurs un accès à Outlook à partir de périphériques mobiles. Exchange ActiveSync permet une synchronisation avec des niveaux de sécurité très élevés, directement vers vos boîtes aux lettres Exchange depuis des périphériques basés Microsoft Windows Mobile®, tels que Pocket PC, Pocket PC Phone Edition et Smartphones.
Avant de commencer
Les hypothèses de scénario sont vérifiées dans cette section. Des tableaux informatifs aident à collecter les informations nécessaires à l'utilisation de l'Assistant Nouveau port d'écoute Web et de l'Assistant Nouvelle règle de publication Exchange.
Hypothèses de scénario
Le scénario présente les hypothèses suivantes :
| • | Exchange Server 2003 est installé et configuré sur exchange01. | ||||
| • | Exchange Server 2003 est installé et configuré sur owa01. L'ordinateur owa0 doit être configuré en tant que serveur frontal Exchange. Pour plus d'informations sur les configurations des serveurs Exchange frontaux et principaux, voir les pages suivantes :
 Important :Sur owa01, ne sélectionnez pas l'option d'authentification basée sur les formulaires Exchange Server 2003. L'authentification basée sur les formulaires doit être configurée selon la règle de publication ISA Server Web. | ||||
| • | L'ordinateur owa01 dispose d'un certificat SSL installé à partir de dc01 portant le nom courant owa01.corp.contoso.com. L'URL interne est https://owa01.corp.contoso.com/exchange. | ||||
| • | Le nom courant externe (nom de domaine pleinement qualifié ou FQDN) est mail.contoso.com. | ||||
| • | Le certificat de l'autorité de certification racine de dc01 est installé sur l'ordinateur isa01. ISA Server doit absolument accepter la validité du certificat sur owa01. | ||||
| • | L'ordinateur isa01 dispose d'un certificat SSL installé à partir de router01 portant le nom courant mail.contoso.com. | ||||
| • | Le FQDN mail.contoso.com résout l'adresse IP 172.16.0.104 installée en tant qu'adresse IP secondaire sur isa01. |
Tableaux informatifs
Mettez à jour le tableau suivant en entrant les informations qui seront utilisées avec l'Assistant Nouveau port d'écoute Web.
| Propriété | Valeur | ||||
Nom du port d'écoute Web | Nom : ________________________ | ||||
Sécurité de la connexion cliente Remarque :
| HTTPS ou HTTP (entourez une des propositions) | ||||
Adresse IP du port d'écoute Web | Réseau : ___________________ Facultatif Adresse IP spécifique : ___.___.___.___ Remarque :SI cette adresse IP spécifique n'est pas l'adresse IP principale de la carte réseau, une adresse IP secondaire doit être installée sur l'ordinateur ISA Server avant la création du port d'écoute Web. | ||||
Paramètres d'authentification du port d'écoute Web Certificat SSL Remarque Requis uniquement si le protocole HTTPS a été sélectionné du côté client pour la sécurité de connectivité. | ___Utilisez un seul certificat pour ce port d'écoute Web. Certificat délivré à : _______________________ ___Attribuez un certificat pour chaque adresse IP. (Cette option est disponible uniquement si une adresse IP spécifique a été attribuée au port d'écoute Web.) Certificat délivré à : _______________________ | ||||
Paramètres d'authentification unique | ___Activez l'authentification unique. Nom de domaine de l'authentification unique : ___________________________ | ||||
Mettez à jour le tableau suivant en entrant les informations qui seront utilisée avec l'Assistant Nouvelle règle de publication Exchange.
| Propriété | Valeur | ||||
Nom de la règle de publication Exchange | Nom : ________________________ | ||||
Services | Version d'Exchange : ____________ __Outlook Web Access __RPC sur HTTP __Outlook Mobile Access __Exchange ActiveSync | ||||
Type de publication | __Publiez un seul site Web. Ou __Publiez une batterie de serveurs d'équilibrage de la charge. et Nom de la batterie de serveurs :_____________ | ||||
Sécurité de la connexion au serveur | HTTPS ou HTTP (entourez une des propositions) Remarque :
| ||||
Informations de publication interne | Nom de site Web local (FQDN) : ______________________ Si l'ordinateur ISA Server ne parvient pas à résoudre le FQDN : Nom de l'ordinateur ou adresse IP :_____________________ | ||||
Informations sur les noms publics | Accepter les demandes pour : __Ce nom de domaine :______________ Ou __N'importe quel nom de domaine | ||||
Sélection du port d'écoute Web | Port d'écoute Web :________________ | ||||
Ensemble d'utilisateurs | Liste des ensembles d'utilisateurs ayant accès à cette règle : _________________ __________________ | ||||
Procédure
Les ordinateurs suivants sont nécessaires pour accomplir la procédure :
| • | dc01 |
| • | exchange01 |
| • | owa01 |
| • | storage01 (pour l'Édition Entreprise) |
| • | isa01 |
| • | router01 |
| • | client01 |
Les procédures suivantes permettent de publier Outlook Web Access et RPC sur HTTP :
Création d'une batterie de serveurs (en option)
Création d'un port d'écoute Web
Création d'une règle de publication d'accès client Web Exchange
Création d'une batterie de serveurs (en option)
Lorsque vous avez plusieurs serveurs Web fournissant l'accès au même contenu, vous pouvez utiliser ISA Server 2006 pour équilibrer la charge au niveau des serveurs. Vous pourrez ainsi publier une seule fois le site Web au lieu d'exécuter plusieurs fois l'assistant. Vous n'avez également plus besoin d'un produit tiers pour équilibrer la charge du site Web. Si un des serveurs n'est pas disponible, ISA Server 2006 le détecte et oriente les utilisateurs vers les serveurs disponibles. ISA Server 2006 vérifie régulièrement le fonctionnement des serveurs appartenant à la batterie de serveurs. Les propriétés de la batterie de serveurs concernent les éléments suivants :
| • | Serveurs de la batterie de serveurs |
| • | Méthode de vérification de la connectivité utilisée par ISA Server pour vérifier le fonctionnement des serveurs |
Remarques à propos de la batterie de serveurs :
| • | Un second serveur frontal Exchange nommé owa02.corp.contoso.com est disponible. |
| • | Les deux serveurs possèdent un certificat avec le FQDN suivant : owa.corp.contoso.com. |
Vous devez suivre la procédure suivante pour créer une batterie de serveurs.
Création d'une batterie de serveurs
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, cliquez sur Nouveau et sélectionnez Batterie de serveurs. Suivez les instructions de l'assistant pour créer la batterie de serveurs comme indiqué dans le tableau suivant. |
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom de la batterie de serveurs | Tapez Exchange OWA. |
Serveurs | Serveurs | Sélectionnez Ajouter et entrez les adresses IP ou les noms des serveurs : owa01.corp.contoso.com owa02,.corp.contoso.com |
Surveillance de la connectivité | Appliquez cette méthode | Sélectionnez Envoyez une demande HTTP/HTTPS de type GET à l'URL suivante. |
Fin de l'Assistant Nouvelle batterie de serveurs | Vérifiez les paramètres | Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant. |
1. | Lorsque l'assistant est terminé, cliquez sur Oui au niveau de la boîte de dialogue Activer la vérification de la connectivité HTTP. |
2. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Pour plus d'informations à propos des vérificateurs de connectivité, consultez les rubriques d'aide relatives au produit.
Création d'un port d'écoute Web
Lorsque vous créez une règle de publication Web, vous devez spécifier un port d'écoute Web. Les propriétés du port d'écoute Web concernent les éléments suivants :
| • | Les adresses IP et les ports des réseaux spécifiés qui vont écouter les demandes Web (HTTP ou HTTPS) |
| • | Les certificats de serveur associés aux adresses IP |
| • | Les méthodes d'authentification |
| • | Le nombre de connexions concurrentes autorisé |
| • | Les paramètres d'authentification unique |
Utilisez les informations du tableau que vous avez rempli précédemment et suivez la procédure suivante pour créer un port d'écoute Web.
Création d'un port d'écoute Web
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, cliquez sur Nouveau et sélectionnez Port d'écoute. Suivez les instructions de l'assistant pour créer le port d'écoute comme indiqué dans le tableau suivant. |
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom du port d'écoute Web | Tapez FBA. |
Sécurité de la connexion cliente | Type de connexion, SSL ou non-SSL | Sélectionnez Connexions SSL sécurisées obligatoires avec les clients. |
Adresses IP des ports d'écoute Web | Écoute des demandes Web entrantes des réseaux ISA Server compresse le contenu Sélectionnez les adresses IP | Sélectionnez le réseau Externe. Case à cocher activée (par défaut). Consultez la page Sélection de l'IP du port d'écoute du réseau externe. |
Sélection de l'IP du port d'écoute du réseau externe | Écoute des demandes sur les adresses IP disponibles | Sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur ISA Server qui sont dans le réseau sélectionné. Sélectionnez 172.16.0.104 et cliquez sur Ajouter. |
Certificats des ports d'écoute SSL | Un port d'écoute Web peut utiliser un seul certificat pour toutes ses adresses IP ou un certificat différent pour chaque adresse IP. | Sélectionnez Attribuez un certificat pour chaque adresse IP. Sélectionnez l'adresse IP 172.16.0.104 et cliquez sur Sélectionner un certificat. |
Sélectionner un certificat | Sélectionnez un certificat | Sélectionnez le certificat délivré à mail.contoso.com et cliquez sur Sélectionner. Le certificat doit être installé avant d'exécuter l'assistant. |
Paramètres d'authentification | Spécifiez comment les clients s'identifient auprès de ISA Server Sélectionnez la méthode de validation de l'identification client de ISA Server | Sélectionnez Authentification des formulaires HTML. Sélectionnez LDAP (Active Directory). La méthode de validation de l'authentification spécifiée au niveau du port d'écoute Web doit être cohérente avec les paramètres utilisateur de la règle de publication utilisant le port d'écoute. Par exemple, dans le scénario présenté dans ce document, le port d'écoute utilise la validation LDAP et la règle de publication est configurée avec les utilisateurs et les groupes de l'espace de noms LDAP. |
Paramètres d'authentification unique | Activez l'authentification unique pour les sites Web publiés avec ce port d'écoute Nom de domaine de l'authentification unique | Désactivez la case à cocher. L'authentification unique sera activée plus tard dans la solution. Laissez ce champ vide. |
Fin de l'Assistant Nouveau port d'écoute Web | Revoir les paramètres | Cliquez sur Précédent pour apporter des modifications et sur Terminer pour fermer l'assistant. |
Création d'une règle de publication d'accès client Web Exchange
Lorsque vous publiez un serveur Web interne sur ISA Server 2006, vous protégez le serveur Web des accès directs externes car l'utilisateur n'a pas accès au nom et à l'adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server 2006 qui transmet la demande au serveur Web interne en fonction de la règle de publication de votre serveur Web. Une règle de publication d'accès client Web Exchange est une règle de publication Web qui contient des paramètres par défaut en fonction de l'accès client Web Exchange.
Utilisez les informations du tableau que vous avez rempli précédemment et suivez la procédure suivante pour créer une règle de publication d'accès client Web Exchange.
Création d'une règle de publication d'accès client Web Exchange
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Tâches, cliquez sur Publier des sites SharePoint. Suivez les instructions de l'assistant pour créer la règle comme indiqué dans les tableaux suivants. |
Pour un seul serveur Web, utilisez le tableau Assistant Nouvelle règle de publication Exchange pour un seul site.
Assistant Nouvelle règle de publication Exchange pour un seul site
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom de la règle de publication Exchange | Tapez Publication OWA Exchange. |
Sélection des services | Version d'Exchange Services Web des courriers client | Sélectionnez Exchange Server 2003. Sélectionnez Outlook Web Access et Outlook RPC/HTTP(s). |
Type de publication | Sélectionnez le type de publication | Sélectionnez Publier un seul site Web ou un équilibreur de charge. |
Sécurité de la connectivité au serveur | Choisissez le type de connexions que ISA Server va établir avec le serveur Web ou la batterie de serveurs publié. | Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs. |
Informations de publication interne | Nom de site local | Tapez owa01.corp.contoso.com. Important :Le nom de site local doit correspondre au nom du certificat du serveur installé sur le serveur Web interne. Remarque :Si vous ne parvenez pas à résoudre le nom de site local, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et tapez ensuite l'adresse IP ou le nom requis qui peut être résolu par l'ordinateur ISA Server. |
Informations sur les noms publics | Accepter les demandes pour Noms publics | Ce nom de domaine (tapez ci-dessous) Tapez mail.contoso.com. |
Sélection du port d'écoute Web | Port d'écoute Web | Sélectionnez FBA. |
Délégation de l'authentification | Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés | Sélectionnez Authentification de base. |
Ensembles d'utilisateurs | Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants | Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer. Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer. L'ensemble d'utilisateurs sélectionné dans la règle doit être cohérent avec la méthode de validation de l'authentification spécifiée au niveau du port d'écoute. Par exemple, dans le scénario présenté dans ce document, le port d'écoute utilise la validation LDAP et la règle de publication est configurée avec les utilisateurs et les groupes de l'espace de noms LDAP. |
Fin de l'Assistant Nouvelle règle de publication Exchange | Revoir les paramètres | Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant. |
1. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Consultez Pontage SSL.
Assistant Nouvelle règle de publication Exchange pour une batterie de serveurs
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom de la règle de publication Exchange | Tapez Publication OWA Exchange. |
Sélection des services | Version d'Exchange Services Web des courriers client | Sélectionnez Exchange Server 2003. Sélectionnez Outlook Web Access et Outlook RPC/HTTP(s). |
Type de publication | Sélectionnez le type de publication | Sélectionnez Publier une batterie de serveurs Web à équilibrage de charge. |
Sécurité de la connectivité au serveur | Choisissez le type de connexions que ISA Server va établir avec le serveur Web ou la batterie de serveurs publié. | Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs. Remarque :Un certificat serveur doit être installé au niveau des serveurs Web publiés et le certificat d'autorité de certification racine doit être installé au niveau de l'ordinateur ISA Server. |
Informations de publication interne | Nom de site local | Tapez owa.corp.contoso.com. Important :Le nom de site local doit correspondre au nom du certificat du serveur installé sur les serveurs Web internes. Remarque Si vous ne parvenez pas à résoudre le nom de site local, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et tapez ensuite l'adresse IP ou le nom requis qui peut être résolu par l'ordinateur ISA Server. |
Spécification de la batterie de serveurs | Sélectionnez la batterie de courrier Web que vous voulez publier | Sélectionnez Exchange OWA. |
Informations sur les noms publics | Accepter les demandes pour Noms publics | Ce nom de domaine (tapez ci-dessous) Tapez mail.contoso.com. |
Sélection du port d'écoute Web | Port d'écoute Web | Sélectionnez FBA. |
Délégation de l'authentification | Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés | Sélectionnez Authentification de base. |
Ensembles d'utilisateurs | Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants | Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer. Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer. |
Fin de l'Assistant Nouvelle règle de publication Exchange | Revoir les paramètres | Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant. |
1. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Pontage SSL
Le pontage SSL est utilisé quand ISA Server termine ou démarre une connexion SSL. Dans ISA Server 2006, le pontage SSL est automatiquement configuré lorsque le port d'écoute Web spécifié est configuré pour écouter le trafic HTTPS.
Le pontage SSL fonctionne de façon plus spécifique dans les scénarios suivants :
| • | Un client effectue une demande pour un objet SSL. ISA Server décrypte la demande, la crypte à nouveau et la transmet au serveur Web. Le serveur Web renvoie l'objet crypté vers ISA Server. ISA Server décrypte l'objet, le crypte à nouveau et l'envoie au client. Les demandes SSL sont transmises en tant que demandes SSL. |
| • | Un client effectue une demande pour un objet SSL. ISA Server décrypte la demande et la transmet au serveur Web. Le serveur Web renvoie l'objet HTTP vers ISA Server. ISA Server crypte l'objet et l'envoie au client. Les demandes SSL sont transmises en tant que demandes HTTP. |
Pour les demandes Web entrantes, un client externe utilise le protocole HTTPS pour faire une demande d'objet sur un serveur Web de votre réseau local. Le client se connecte à ISA Server sur un port, par défaut le port 443.
Après avoir reçu la demande du client, ISA Server la décrypte et arrête la connexion SSL. Les règles de publication Web déterminent comment ISA Server transmet la demande concernant l'objet au serveur Web effectuant la publication (FTP, HTTP ou SSL).
Si la règle de publication Web sécurisée est configurée pour transmettre la demande via le protocole HTTPS, ISA Server démarre une nouvelle connexion SSL avec le serveur de publication en envoyant une demande sur le port 443. Le serveur de publication Web doit répondre avec un certificat du côté serveur car l'ordinateur ISA Server est désormais un client SSL.
Test de la règle de publication Exchange
Dans cette section, vous allez tester la nouvelle règle de publication Exchange que vous venez de créer.
Test de Outlook Web Access
À partir de l'ordinateur router01 ou client01, suivez la procédure suivante pour tester la nouvelle règle de publication d'accès client Web Exchange.
Remarque Vérifiez que vous disposez de l'autorité de certification racine de l'autorité de certification émettrice du certificat mail.contoso.com installé.
1. | Vous pouvez désormais lire et envoyer des courriers électroniques. |
Test de RPC sur HTTP
Cette procédure doit être effectuée à partir de l'ordinateur client01.
Remarque :Nous vous recommandons de configurer Outlook sans RPC sur HTTP. Vérifiez que Outlook fonctionne correctement sur le réseau interne avant de configurer RPC sur HTTP.
Remarque :Pour que RPC sur HTTP fonctionne, que l'utilisateur soit absent ou non de son bureau, le nom de domaine complet mail.contoso.com doit correspondre à l'adresse externe lorsque les utilisateur se trouvent au bureau et lorsqu'ils sont connectés à Internet.
Publication de sites SharePoint
ISA Server 2006 travaille en parallèle avec Windows SharePoint Services et SharePoint Portal Server 2003 afin d'optimiser la sécurité.
En utilisant les fonctionnalités de collaboration combinées de Windows SharePoint Services et de SharePoint Portal Server 2003, les utilisateurs de votre entreprise peuvent facilement créer, gérer et générer leurs propres sites Web de collaboration et les mettre à disposition dans toute l'entreprise.
Lorsque vous publiez des sites portail SharePoint sur Internet, vous permettez aux employés absents de leur bureau d'accéder aux informations nécessaires à l'exécution de leurs travaux, où qu'ils soient, sans compromettre la sécurité.
Lorsque vous publiez un site SharePoint sur ISA Server, les utilisateurs ne peuvent pas accéder directement au site SharePoint en externe car le nom et l'adresse IP du site SharePoint ne sont pas accessibles à l'utilisateur. L'utilisateur accède à l'ordinateur ISA Server, qui transmet ensuite la requête au site SharePoint publié selon les conditions de votre règle de publication SharePoint.
Lorsque vous publiez un site SharePoint, ISA Server vous permet de configurer une authentification basée sur les formulaires, d'appliquer une méthode d'authentification requise, d'activer une authentification à deux facteurs, de vérifier la disponibilité des pièces jointes et la journalisation centralisée.
Avant de commencer
Les hypothèses de scénario sont vérifiées dans cette section. Plusieurs tableaux sont fournis pour information afin de rassembler les informations nécessaires à l'utilisation de l'Assistant Règle de publication SharePoint.
Hypothèses de scénario
Les hypothèses suivantes s'appliquent à cette procédure :
| • | SharePoint Portal Server 2003 avec SP2 est installé et configuré sur sps01 ; |
| • | le mappage des accès de substitution SharePoint est correctement configuré sur sps01. Pour plus d'informations sur le mappage des accès de substitution, reportez-vous à l'Annexe C : Mappage des accès de substitution. |
| • | Vous avez créé un portail contenant un lien pointant vers https://owa01.corp.contoso.com/exchange. La fonctionnalité de transition de liaison ISA Server traduira le lien en https://mail.contoso.com/exchange. Pour plus d'informations sur la transition de liaison, consultez la section « Link Translation Concepts in ISA Server 2006 » (Concepts de la transition de liaison dans ISA Server 2006, en anglais) sur le site de Microsoft TechNet ; |
| • | L'ordinateur sps01 dispose d'un certificat SSL installé à partir de dc01 et porte le nom commun de sps01.corp.contoso.com. L'URL interne est https://sps01.corp.contoso.com ; |
| • | Le certificat de l'autorité de certification racine de dc01 est installé sur l'ordinateur isa01. ISA Server doit nécessairement accepter la validité du certificat sur sps01 ; |
| • | Le nom commun externe (nom de domaine pleinement qualifié) est portal.contoso.com ; |
| • | Un certificat SSL est installé à partir de router01 sur l'ordinateur isa01 et porte le nom commun de portal.contoso.com ; |
| • | ISA Server répond aux demandes de portal.contoso.com sur l'adresse IP 172.16.0.103. |
Tableau informatif
Vous devez avoir pris connaissance des informations suivantes avant d'exécuter l'Assistant Règle de publication SharePoint.
| Propriété | Valeur |
Nom de la règle de publication SharePoint | Nom : ________________________ |
Type de publication | __Publiez un seul site Web. Ou __Publiez une batterie de serveurs d'équilibrage de la charge. et Nom de la batterie de serveurs :_____________ |
Sécurité de la connexion au serveur Méthode de connexion d'ISA Server au serveur Web publié | HTTPS ou HTTP (entourez une des propositions) Si le protocole HTTPS est sélectionné, il est nécessaire d'installer un certificat serveur au niveau du serveur Web. |
Informations de publication interne | Nom de site Web local (FQDN) : ______________________ Si ISA Server ne parvient pas à résoudre le nom de domaine pleinement qualifié : Nom de l'ordinateur ou adresse IP :_____________________ |
Informations sur les noms publics | Accepter les demandes pour : __Ce nom de domaine :______________ Ou __N'importe quel nom de domaine |
Sélection du port d'écoute Web | Port d'écoute Web :________________ |
Mappage des accès de substitution Pour plus d'informations sur la configuration du mappage des accès de substitution, voir l'Annexe C : Mappage des accès de substitution. | Le mappage des accès de substitution a t-il été configuré sur l'ordinateur SharePoint Portal Server ? Oui ou non (entourez une des propositions) |
Ensemble d'utilisateurs | Dresser la liste des ensembles d'utilisateurs qui auront accès à cette règle : _________________ __________________ |
Procédure
Les ordinateurs suivants sont nécessaires pour accomplir la procédure :
| • | dc01 |
| • | storage01 (Édition Entreprise) |
| • | isa01 |
| • | sps01 |
| • | router01 |
Les sections suivantes présentent comment configurer la solution :
Modification du port d'écoute Web
Publication d'un site SharePoint
Test de la publication SharePoint
Modification du port d'écoute Web
Vous devez modifier le port d'écoute Web, créé dans la section Création d'un port d'écoute Web, pour que l'ordinateur ISA Server reçoive les demandes sur l'adresse IP 172.16.0.103 et utilise le certificat serveur portal.contoso.com uniquement pour cette adresse IP. Le port d'écoute Web recevra ensuite les demandes client Web Exchange sur 172.16.0.104 en utilisant le certificat correspondant au nom public utilisé pour l'accès client Web Exchange ; il recevra par la suite les demandes client SharePoint sur 172.16.0.103 en utilisant le certificat correspondant au nom public utilisé pour l'accès client SharePoint.
Pour modifier le port d'écoute Web
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur FBA, puis sélectionnez Propriétés. | ||||
3. | Sélectionnez l'onglet Réseaux. Sélectionnez Externe et cliquez sur Adresse. | ||||
4. | Sélectionnez 172.16.0.103 dans la colonne Adresses IP disponibles, cliquez sur Ajouter, puis sur OK. | ||||
5. | Cliquez sur l'onglet Certificats, puis :
| ||||
6. | Cliquez sur OK pour quitter les propriétés du port d'écoute Web FBA. |
Publication d'un site SharePoint
À l'aide des informations du tableau que vous avez rempli précédemment, exécutez la procédure suivante pour publier un site SharePoint.
Pour publier un site SharePoint
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Tâches, cliquez sur Publier des sites SharePoint. Aidez-vous de l'assistant pour créer une règle comme indiqué dans le tableau suivant. |
| Page | Champ ou propriété | Configuration |
Bienvenue | Nom de la règle de publication SharePoint | Tapez Publication SharePoint. |
Type de publication | Options du type de publication | Sélectionnez Publier un seul site Web ou un équilibreur de charge. |
Sécurité de la connexion au serveur | Sélectionnez le type de connexions qu'ISA Server établira avec le serveur publié ou la batterie de serveurs | Sélectionnez Utiliser SSL pour établir la connexion au serveur Web publié ou à la batterie de serveurs. |
Informations de publication interne | Nom de site local | Tapez sps01.corp.contoso.com. Important :Le nom de site local doit correspondre au nom du certificat du serveur installé sur les serveurs Web internes. Remarque Si vous ne pouvez pas corriger le nom de site interne, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour se connecter au serveur publié, puis taper une adresse IP ou un nom pouvant être résolu par l'ordinateur ISA Server. |
Informations sur les noms publics | Accepter les demandes pour Noms publics | Ce nom de domaine (tapez ci-dessous) Tapez portal.contoso.com. |
Sélection du port d'écoute Web | Port d'écoute Web | Sélectionnez FBA. |
Délégation de l'authentification | Sélectionnez la méthode utilisée par ISA Server pour authentifier les serveurs Web publiés | Sélectionnez Authentification NTLM. |
Configuration du mappage des accès de substitution | Pour une intégration et une fonctionnalité totale, vous devez configurer le mappage des accès de substitution sur le site SharePoint publié. | Sélectionnez Le mappage des accès de substitution est déjà configuré sur le serveur SharePoint. |
Ensembles d'utilisateurs | Cette règle s'applique aux demandes des ensembles d'utilisateurs suivants | Sélectionnez Tous les utilisateurs authentifiés et cliquez sur Supprimer. Cliquez sur Ajouter, sélectionnez LDAPUsers, cliquez sur Ajouter et cliquez ensuite sur Fermer. |
Fin de l'Assistant Nouvelle règle de publication SharePoint | Revoir les paramètres | Cliquez sur Précédent pour faire des modifications et sur Terminer pour fermer l'assistant. |
1. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Remarque :Si le site SharePoint ne contient pas d'informations confidentielles, vous pouvez choisir Utiliser une connexion non sécurisée pour la connexion au serveur Web publié ou à la batterie de serveurs sur la page Sécurité de la connexion au serveur. Dans ce cas, la connexion de l'utilisateur à ISA Server est établie via HTTPS. La connexion d'ISA Server au serveur interne publié est établie via HTTP.
Test de la publication SharePoint
Sur l'ordinateur router01 ou client01, exécutez la procédure suivante afin de tester la nouvelle règle de publication SharePoint.
Remarque :Assurez-vous que vous disposez du certificat de l'autorité de certification émettrice racine du certificat portal.contoso.com installé.
Pour tester la publication SharePoint
1. | Ouvrez Internet Explorer. | ||||
2. | Accédez à l'URL suivante : https://portal.contoso.com. Utilisez les informations suivantes pour vous connecter :
|
Vous devriez avoir accès au portail à présent.
1. | Dans la partie droite, sélectionnez Accès à Outlook Web Access en externe sous Liens utilisateur. |
2. | Une nouvelle page d'ouverture de session ISA Server s'affiche, vous pouvez ainsi ouvrir le site Outlook Web Access publié créé précédemment. |
Cette opération n'est pas idéale car les utilisateurs doivent se connecter plusieurs fois en utilisant les mêmes informations d'identification. Cela peut porter à confusion et se traduire par des appels inutiles du support. Cela augmente également le temps d'exécution d'une tâche. Lorsqu'un utilisateur est sous pression pour, par exemple, essayer de ne pas manquer son vol, il est possible qu'il ne soit pas en mesure d'exécuter sa tâche. C'est la raison pour laquelle vous pouvez configurer l'authentification unique, comme décrit dans la rubrique suivante.
Sécurisation de l'authentification unique entre une publication Web et une publication Outlook Web Access
Lorsque les utilisateurs accèdent à deux sites Web différents, tels qu'un site Outlook Web Access et un site SharePoint, ils ne devraient pas avoir à fournir de nouveau les mêmes informations d'identification lorsqu'ils cliquent sur un lien pour ouvrir un autre site.
La fonctionnalité d'authentification unique d'ISA Server 2006 réutilise les informations d'identification d'un utilisateur sur un autre serveur publié, ce qui évite de saisir ses informations d'identification pour la deuxième ou la troisième fois. Cette procédure optimise l'expérience utilisateur car ce dernier clique sur un lien qui ouvre une autre application Web sans avoir à fournir ses informations d'identification.
Les hypothèses sont les suivantes :
| • | Outlook Web Access est publié avec succès ; |
| • | SharePoint Portal Server est publié avec succès. |
Les ordinateurs suivants sont requis :
| • | dc01 |
| • | storage01 (Édition Entreprise) |
| • | isa01 |
| • | sps01 |
| • | exchange01 |
| • | owa01 |
| • | router01 |
Les sections suivantes présentent comment configurer la solution :
Modification d'un port d'écoute Web pour activer l'authentification unique
Test de l'authentification unique entre SharePoint Portal Server et Outlook Web Access
Modification d'un port d'écoute Web pour activer l'authentification unique
Pour modifier un port d'écoute Web afin d'activer l'authentification unique
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur FBA, puis sélectionnez Propriétés. | ||||
3. | Cliquez sur l'onglet SSO. Sélectionnez Activer l'authentification unique. (Cette option est généralement activée par défaut. Désactivez l'authentification unique lorsque vous avez créé le port d'écoute Web dans la section Création d'un port d'écoute Web.) | ||||
4. | Cliquez sur Ajouter pour spécifier les domaines d'authentification unique du port d'écoute Web. | ||||
5. | Entrez .contoso.com et cliquez sur OK. | ||||
6. | Cliquez sur OK pour fermer la boîte de dialogue Propriétés FBA. | ||||
7. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Important :Lors de l'activation de l'authentification unique, assurez-vous de fournir un domaine d'authentification unique spécifique. La définition d'un domaine générique, tel que .co.uk, autorisera le navigateur Web à envoyer les cookies d'authentification unique ISA Server sur n'importe quel site Web de ce domaine, posant un risque en termes de sécurité.
Remarque :
| • | L'authentification unique n'est pas prise en charge entre les différents ports d'écoute Web. |
| • | Les serveurs publiés doivent porter le même suffixe DNS. Par exemple, vous pouvez configurer l'authentification unique lors de la publication de mail.contoso.com et de portal.contoso.com, ce que vous ne pouvez pas faire pour mail.fabrikam.com et portal.contoso.com. |
Test de l'authentification unique entre SharePoint Portal Server et Outlook Web Access
Sur l'ordinateur router01 ou client01, exécutez la procédure suivante afin de tester la nouvelle règle de publication SharePoint.
Pour tester l'authentification unique entre SharePoint Portal Server et Outlook Web Access
1. | Ouvrez Internet Explorer. | ||||
2. | Reportez-vous à l'adresse URL suivante : https://portal.contoso.com. Utilisez les informations suivantes pour vous connecter :
|
1. | Dans la partie droite, sélectionnez Accès à Outlook Web Access en externe sous Liens utilisateur. |
2. | La page Outlook Web Access utilisateur s'ouvrira automatiquement. |
3. | Déconnectez-vous de la page Outlook Web Access. |
4. | Vous pouvez vous connecter à https://mail.contoso.com/exchange, ouvrir un message électronique appelé Nouveau portail externe, puis cliquer sur le lien du message électronique pour ouvrir le site portail SharePoint. |
Annexe A : Fonctions supplémentaires de publication
Cette section présente les fonctionnalités supplémentaires suivantes, que vous pouvez configurer pour faciliter vos déploiements :
| • | Redirection de HTTP vers HTTPS |
| • | Gestion des mots de passe |
Redirection de HTTP vers HTTPS
Lors de la publication d'un site Web, il est recommandé que les utilisateurs établissent une connexion HTTPS entre leur ordinateur et l'ordinateur ISA Server afin de protéger les informations sensibles en cours de transfert vers Internet. Les utilisateurs doivent entrer une URL telle que https://portal.contoso.com. Si l'utilisateur entre uniquement portal.contoso.com, il recevra le message d'erreur suivant.
Les utilisateurs ont tendance à ne pas entrer la partie HTTPS de l'URL même lorsqu'ils souhaitent accéder à un site Web sécurisé. Ce comportement s'est vu conforté par les administrateurs Web qui ont adapté leurs sites Web de sorte à rediriger les utilisateurs vers une page HTTPS, même en entrant HTTP. Ainsi, le support technique est beaucoup moins sollicité par les utilisateurs qui n'arrivent pas à ouvrir l'URL souhaitée.
Pour permettre la redirection HTTP vers HTTPS, exécutez la procédure suivante.
Pour permettre la redirection HTTP vers HTTPS
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur le port d'écoute Web, puis sélectionnez Propriétés. | ||||
3. | Sélectionnez l'onglet Connexions. | ||||
4. | Sélectionnez Activer les connexions HTTP sur le port et vérifiez que le port d'écoute pour HTTP est 80. | ||||
5. | Vérifiez que Activer les connexions SSL (HTTPS) sur le port est sélectionné et que le port d'écoute est 443. | ||||
6. | Sélectionnez Rediriger tout le trafic de HTTP vers HTTPS. |
1. | Cliquez sur OK pour quitter les propriétés du port d'écoute Web. |
2. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Gestion des mots de passe
Une stratégie de sécurité judicieuse consisterait à demander à vos utilisateurs de modifier leurs mots de passe régulièrement. Les utilisateurs souvent absents de leurs bureaux ont besoin d'une méthode permettant de modifier leurs mots de passe lorsqu'ils sont absents de leurs bureaux.
Lors de l'utilisation d'une authentification basée sur les formulaires, vous pouvez informer les utilisateurs que leurs mots de passe vont expirer dans un nombre de jours donné et vous pouvez leur permettre de changer leurs mots de passe pour qu'ils n'expirent pas. Les utilisateurs pourront également changer un mot de passe expiré.
Pour configurer l'option Modifier le mot de passe lors de l'utilisation de l'authentification LDAP, LDAP doit être configuré à l'aide des paramètres suivants :
| • | La connexion aux serveurs LDAP doivent doit être établie via une connexion sécurisée. Par conséquent, un certificat SSL doit être installé sur le serveur Active Directory. Pour plus d'informations sur la connexion LDAP via SSL, consultez la section « Méthode de connexion LDAP via SSL à l'aide d'une autorité de certification tierce » (en anglais) sur le site Microsoft Support ; |
| • | L'ordinateur ISA Server doit disposer du certificat racine de l'autorité de certification ayant émis le certificat SSL installé sur les serveurs Active Directory ; |
| • | La connexion aux serveurs LDAP ne peut pas être établie via un catalogue global ; |
| • | Un nom d'utilisateur et son mot de passe utilisés pour vérifier l'état du compte utilisateur et pour changer de mot de passe sont nécessaires. |
Pour activer la fonctionnalité de modification du mot de passe pour une authentification basée sur les formulaires
1. | Dans l'arborescence de la console de Gestion ISA Server, cliquez sur Stratégie de pare-feu :
| ||||
2. | Sous l'onglet Boîte à outils, cliquez sur Objets de réseau, développez Ports d’écoute Web, cliquez avec le bouton droit sur le port d'écoute Web, puis sélectionnez Propriétés. | ||||
3. | Sélectionnez l'onglet Formulaires. | ||||
4. | Sélectionnez Autoriser les utilisateurs à modifier leur mot de passe et Rappeler aux utilisateurs que leur mot de passe expirera dans ce nombre de jours. Le nombre de jours par défaut est 15. |
1. | Cliquez sur OK pour quitter les propriétés du port d'écoute Web. |
2. | Cliquez sur Appliquer au niveau du volet d'informations pour enregistrer les modifications et les mises à jour de la configuration. |
Les utilisateurs verront à présent s'afficher l'écran de connexion suivant. Remarquez la présence de l'option Je souhaite changer de mot de passe après m'être connecté.
Annexe B : Configuration LDAP
ISA Server 2006 permet d'authentifier les utilisateurs via LDAP sur les ordinateurs s'exécutant sous Windows Server 2003 ou Windows 2000 Server. Actuellement, ISA Server ne prend pas en charge d'autres serveurs LDAP.
L'authentification LDAP permet à l'ordinateur ISA Server de rester dans un groupe de travail. ISA Server authentifie les utilisateurs dans Active Directory à l'aide d'une méthode d'authentification identique à la méthode utilisée lorsque l'ordinateur ISA Server est un membre de domaine.
Les utilisateurs peuvent s'authentifier via LDAP à l'aide des éléments suivants, affichés sous forme d'expressions de connexion dans Gestion ISA Server :
| • | Nom de compte du gestionnaire de comptes de service (SAM, Security Accounts Manager) (domaine\nom_utilisateur), |
| • | Nom de l'utilisateur principal (UPN, User principal name) (nom_utilisateur@domaine.com). |
ISA Server peut se connecter à un serveur LDAP de différents façons comme indiqué dans le tableau suivant.
| Connexion | Port | Nécessite un nom de domaine Active Directory | Prend en charge l'option Modifier le mot de passe |
LDAP | 389 | Oui | Non |
LDAPS | 636 | Oui | Oui |
LDAP à l'aide d'un catalogue global | 3268 | Non | Non |
LDAPS à l'aide d'un catalogue global | 3269 | Non | Non |
Remarque :Pour utiliser LDAPS ou LDAPS à l'aide d'un catalogue global, un certificat serveur doit être installé sur le serveur LDAP et le certificat racine émis par l'autorité de certification doit être installé sur l'ordinateur ISA Server.
Propriétés des serveurs LDAP d'ISA Server
Pour configurer correctement l'authentification LDAP, vous devez configurer un ensemble de serveurs LDAP et au moins une expression de connexion.
Ensemble de serveurs LDAP
Un ensemble de serveurs LDAP est un regroupement de serveurs LDAP utilisé par ISA Server pour effectuer une authentification utilisateur. Tous les serveurs d'un ensemble de serveurs LDAP partagent les mêmes paramètres de connexion LDAP.
Le tableau suivant répertorie les propriétés d'un ensemble de serveurs LDAP.
| Élément | Description | Commentaire | |||
Ensemble de serveurs LDAP | Liste des serveurs LDAP disponibles pour l'authentification utilisateur LDAP. Tous les serveurs répertoriés partagent les mêmes paramètres de connexion LDAP. | Requis. | |||
Serveurs LDAP | Liste des serveurs LDAP disponibles pour l'authentification utilisateur LDAP. Remarque :
| ||||