Библиотека@XybiX.org

Познавательный раздел нашего сайта
Данный материал взят с сайта: XybiX.org, http://xybix.org. This material is taken from the site: XybiX.org, http://xybix.org

Web-прокси сервера ISA 2006

Настройка приемника web-прокси на использование принудительной аутентификации
 
Перед разрешением соединений с приемником web-прокси и, как следствие, с Интернетом необходимо настроить приемник на использование принудительной аутентификации. Поскольку данный web-приемник будет доступен для всех пользователей Интернета, следует убедиться, что использование анонимных соединений с приемником запрещено. Анонимные web-прокси могут быть взломаны, что может навредить вашей компании.
 
Если вы не хотите использовать принудительную аутентификацию на web-приемнике, вы можете настроить правило публикации сервера, публикующее приемник web-прокси, на ограниченный набор IP-адресов, которым разрешено использование данного правила. Этот вариант можно использовать, если в филиалах используются статические или более-менее предсказуемые адреса. Вы не сможете использовать этот вариант, если в филиале не используются статические адреса, поскольку правила публикации серверов не позволяют вам контролировать доступ на основе FQDN удаленного клиента. Ниже, при создании правила публикации сервера, мы рассмотрим этот момент подробней.
 
Откройте консоль ISA-сервера, раскройте имя сервера, а затем узел Configuration (Настройки) в левой части консоли. Щелкните по узлу Networks (Сети), а затем дважды щелкните по записи Internal (Внутренняя) на вкладке Networks (Сети) в средней части консоли.
 
В диалоговом окне Internal Properties (Свойства внутренней сети) выберите вкладку Web Proxy (Web-прокси), где отметьте параметр Enable Web Proxy clients (Разрешить соединения клиентов Web-прокси). Отметьте параметр Enable HTTP (Разрешить использование HTTP) и установите значение поля HTTP port (Порт HTTP) 8080.
 

Нажмите кнопку Authentication (Аутентификация). В диалоговом окне Authentication (Аутентификация) вы увидите, что по умолчанию протоколом аутентификации является Integrated (Встроенная). Вам придется использовать встроенную аутентификацию для удаленных клиентов, соединяющихся с вашим приемником web-прокси, поскольку вы не можете использовать SSL для шифрования учетных данных пользователей при регистрации на ISA-сервере с помощью приемника web-прокси. Это не является ограничением ISA-сервера, поскольку на нем можно настроить SSL web-приемник. Проблема в том, что в настоящее время нет браузеров, поддерживающих клиентов web-прокси и использующих защищенные SSL-соединения с web-прокси сервером.
 
Ни один из остальных вариантов аутентификации не является достаточно безопасным для использования в Интернете, кроме SSL-сертификатов. В данной статье мы не будем рассматривать сертификаты, но данный вариант проверки того, как web-браузер предоставляет пользовательские сертификаты ISA-серверу для более защищенного доступа удаленных клиентов, стоит обсуждения в отдельной статье.
 
Отметьте опцию Require all users to authentication (Требовать аутентификации всех пользователей). При этом приемник web-прокси будет использовать принудительную аутентификацию пользователей еще до того, как ISA-сервер определит политику для доступа пользователей к разрешенным сайтам. Такой подход предотвратит ситуации, в которых вы или ваш помощник могут случайно настроить правило анонимного доступа, разрешающее доступ неаутентифицированных пользователей к Интернету через приемник web-прокси.
 
Появится диалоговое окно, сообщающее о том, что случится в случае использования принудительной аутентификации на web-приемнике. Потенциальные проблемы достаточно серьезны, и вам следует учесть эти побочные эффекты до включения принудительной аутентификации на web-приемнике. Единственной альтернативой является гарантия того, что все ваши правила доступа требуют аутентификации. Если вы сможете это сделать, то использование принудительной аутентификации на web-приемнике не требуется.
 
Одним из недостатков встроенной аутентификации является то, что и ISA-сервер и компьютеры пользователей должны быть членами одного домена, или же вы должны сделать зеркало пользовательских учетных данных на ISA-сервере или в домене ISA-сервера.
 
Например, если компьютеры филиала не являются членами домена, вся информация об учетных записях и паролях каждого пользователя филиалов должна быть воссоздана в локальной базе SAM ISA-сервера, или же в домене Active Directory главного офиса. Это потребует дополнительных издержек, зависящих от политики изменения пароля пользователей филиала.
 
В диалоговом окне Authentication (Аутентификация) нажмите OK для сохранения изменений.
 

В диалоговом окне Internal Properties (Свойства внутренней сети) нажмите OK для сохранения изменений.
 
Замечание: Учтите, что внутренний web-приемник используется и клиентами web-прокси во внутренней сети. Встроенная аутентификация не является проблемой для корпоративной сети, в которой ISA-сервер является членом домена, поскольку все клиенты также являются членами домена, что позволяет использовать прозрачную аутентификацию. В этом случае копия учетных записей не нужна, поскольку ISA-сервер, являясь членом домена, аутентифицирует пользователей на контроллере домена Active Directory.
 
Создание Определения протокола и правила публикации сервера
 
Правило публикации сервера позволяет ISA-серверу принимать входящие соединения с определенных IP-адресов и портов на свой внешний интерфейс и переадресовывать их на другой IP-адрес и порт. В нашем примере при публикации приемника web-прокси мы хотим, чтобы ISA-сервер принимал соединения на IP-адрес своего внешнего интерфейса и TCP порт 8080 и переадресовывал эти соединения на TCP порт 8080 IP-адреса внутреннего интерфейса ISA-сервера.
 
Однако, прежде, чем мы создадим правило публикации сервера для публикации приемника web-прокси на внутреннем интерфейсе ISA-сервера, нам нужно создать Определение протокола, которое будет описывать протокол, использующийся для переадресации. В нашем случае мы создадим определение для входящих соединений на TCP порт 8080.
 
Создание Определения протокола Web-прокси
 
В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). На Панели задач выберите вкладку Toolbox (Средства), а затем щелкните по заголовку Protocols (Протоколы). Откроется список групп протоколов. Выберите пункт меню New (Новый) и нажмите Protocol (Протокол).
 
На странице Welcome to the New Protocol Definition Wizard (Начало работы мастера создания нового определения протокола) в поле Protocol Definition name (Имя определения протокола) введите Web proxy и нажмите Next (Далее).
 
На странице Primary Connection Information (Информация о первичном соединении) нажмите кнопку New (Новый).
 
В диалоговом окне New/Edit Protocol Connection (Новый/Изменение описания соединения по протоколу) выберите в поле Protocol type (Тип протокола) значение TCP. Установите Direction (Направление) как Inbound (Входящие). В разделе Port range (Диапазон портов) установите значением полей From (От) и To (До) число 8080. Нажмите OK.
 

На странице Primary Connection Information (Информация о первичном соединении) нажмите Next (Далее). На странице Secondary Connections (Вторичное соединение) нажмите Next (Далее).
 
На странице Completing the New Protocol Definition Wizard (Завершение работы мастера создания нового определения протокола) нажмите Finish (Завершить).
 
Нажмите Apply (Применить) для сохранения изменений и обновления политики сервера. В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.
 
Если вы щелкните по папке User Defined (Определенные пользователем), вы увидите новое определение Web proxy.
av
Ac
13.01.2011/16:01:03
Прсмотров статьи: 10921
bad0good