Por: Yuri Diógenes

 

1. Introdução

 

Muitos profissionais de TI que lidam com ISA Server pensam que a característica de troca de senha só está disponível quando implementamos o OWA do Exchange Server, porém isso não é verdade. O ISA Server 2006 permite a publicação de servidores Web de forma segura, ou seja, com requisição de credenciais de domínio. Além desta requisição de credencial, o ISA Server 2006 permite a troca de senha de domínio via uma página web.  Este artigo vai lhe guiar na implementação da publicação do site e da troca de senha via página web.

 

Este artigo será dividido em três partes, sendo elas:

·         Parte 1 – Requisitos

·         Parte 2 – Implementação Passo a Passo

·         Parte 3 – Resolvendo possíveis problemas de implementação

 

 

2. Requisitos

 

Antes de iniciar a configuração é importante ficar ciente dos requisitos que precisam ser atendidos para tal implementação. Vejamos então que requisitos são estes:

 

·         Independente do ISA Server ser ou não membro de um domínio Windows os requisitos abaixo se aplicam para autenticação de usuário com suporte a troca de senha de domínio:

 

Protocolo de Conexão

Porta

Requer nome de domínio do Active Directory

Suporta Alteração de Senha

LDAP

389

Sim

Não

LDAPS

636

Sim

Sim

LDAP com uso de global catalog

3268

Não

Não

LDAPS usando global catalog

3269

Não

Não

(Tabela obtida do artigo “Secure Application Publishing” Apêndix B)

 

·         É necessário emitir um certificado digital para o controlador de domínio

o    O certificado precisa obedecer os padrões descritos no artigo abaixo:

KB321051 - How to enable LDAP over SSL with a third-party certification authority

o    Uma outra forma de obter este certificado é usando o Certificate Services da Microsoft e emitindo um certificado para Domain Controller (dica do meu amigo PFE - Daniel Mauser). Para isso use o artigo abaixo:

Processing Domain Controller Certificates

 

·         O ISA Server precisa ter certificado raiz do CA que emitiu o certificado para o controlador de domínio instalado no computador local.

o    O certificado precisa ser instalado no container Local Computer Trusted Root Certification Authorities.

 

Vejamos um resumo dos principais pontos no diagrama abaixo:

 

Figura 1 – Componentes necessários.

 

É importante salientar que na parte externa estamos instalando um certificado para permitir a publicação do site usando https. Porém, não é um passo mandatório para permitir a troca de senha via web, porém é recomendado por questões de segurança.

 

3. Autenticação

 

Para entender como funciona a troca de senha via página web, é preciso entender um pouco da estrutura disponibilizada pelo ISA para antender esta demanda. Os seguintes pontos serão cobertos:

 

·         Autenticação via Formulário HTML

·         Método de Validação

 

3. 1. Autenteção via Formulário HTML

 

O ISA Server utiliza autenticação via formulário HTML para implementar a alteração de senhas. No OWA do Exchange está é uma funcionalidade embutida no próprio Exchange Server, porém o ISA também disponibiliza páginas web pré-definidas para esta funcionalidade sem o uso do OWA.

 

Na figura 2 temos a localização destas páginas, note que existe uma pasta para o Exchange e outra para o ISA. A pasta do ISA é onde estão contidos os modelos de formulários para publicação de sites que requerem autenticação.

 

 

Figura 2 – Estrutura de pastas com as páginas web para autenticação de usuário.

 

Quando a publicação segura de um servidor é realizada e o método de autenticação escolhido é via formulário HTML, a página padrão do servidor ISA que é exibida é a seguinte:

 

 

Figura 3 – Página padrão para autenticação através de formulário HTML no ISA.

 

Nota: Esta página pode ser customizada, por exemplo através da inserção da logomarca da empresa. Para fazer isso utilize o artigo Customizing HTML Forms in ISA Server 2006.

 

Esta janela mostra a página inicial de autenticação do usuário, caso as credenciais sejam digitadas nesta tela a autenticação será feita de acordo com método escolhido. Porém, se o usuário selecionar o “checkbox” que diz “I want to change my password after logging in”, então o usuário será levado para uma segunda tela onde será necessário digitar a senha atual e a nova senha.

 

3.1. Método de Validação

 

Conforme mencionado na sessão de requisitos, para que o ISA Server suporte a troca de senha é necessário o uso do protocolo LDAPS (LDAP Seguro) e para isso é preciso instalar um certificado digital usando os procedimentos do artigo 321051. Para este cenário foi usado o mesmo modelo sugerido neste artigo.

 

4. Conclusão

 

Agora que temos o entendimento do funcionamento e dos requisitos poderemos acompanhar o passo a passo da publicação que será publicada no próximo.

 

Até lá.