Por: Yuri Diógenes

 

1. Introdução

 

Na sessão passada vimos os requerimentos para se implementar troca de senha através de uma publicação de página segura no ISA Server 2006. Nesta parte do artigo iremos implementar passo a passo a configuração no lado do servidor ISA.

 

2. Cenário

 

O cenário usado para este exemplo é o seguinte:

 

O cliente externo precisa acessar um site interno que será publicado via ISA Server 2006. O cliente também quer ter a flexibilidade de alterar senha de domínio através desta página web. Abaixo segue o cenário que iremos usar para esta implementação:

 

 

 

Figura 1 – Servidores envolvidos neste cenário.

 

Neste cenário o servidor ISA é membro do domínio CONTOSO.MSFT, assim como o servidor IIS também.

 

3. Configuração dos Servidores LDAP

 

O primeiro passo nesta implementação é criar um grupo de servidores que será usado para receber as autenticações LDAP. Neste caso só teremos um servidor que será o controlador de domínio DCCONT. Vejamos o passo a passo:

 

1.    Na console do servidor ISA clique em General (Array / Nome do Servidor / Configuration).

2.    Ao clicar nesta opção, no painel da direita clique em Specify RADIUS and LDAP Servers.

3.    Clique na guia LDAP Servers.

4.    Na janela que aparece clique no botão Add.

5.    As informações serão preenchidas de acordo com a janela abaixo:

 

 

Figura 2 – Configuração dos servidores LDAP.

 

Nota: Você não precisa usar a conta do administrador nesta tela. Esta conta será usada apenas para fazer a conexão LDAP e permitir a troca de senha.

 

1.    Ao preencher estas informações clique no botão OK.

2.    Na janela seguinte clique no botão New.

3.    Preencha a janela que aparece de acordo com a janela abaixo:

 

Figura 3 – Configuração do mapeamento LDAP.

 

1.    Clique no botão OK nesta janela e OK na outra janela.

 

Nota: Aplique as configuração no servidor ISA clicando em Apply.

 

É importante salientar que que ao usar a expressão de login mostrado na figura 3 estamos adaptando o formato DOMÍNIO\NOME_DO_USUÁRIO. Para oferecer suporte a UPN (User Principal Name) é necessário usar a expressão *@contoso.com.

 

4. Criação do Grupos de Usuários LDAP

 

Quando usamos autenticação LDAP um dos passos necessário é a criação de um grupo que será usado para autenticação. Podemos manter todos usuários ou somente um grupo (do domínio Windows) em específico:

 

1.    Na console do servidor ISA clique em Firewall Policy (Array / Nome do Servidor).

2.    No painel da direita clique no Toolbox clique em Users e em seguida clique em New.

3.    A janela de assistente de configuração aparece, nesta janela iremos digitar o nome do grupo. Para este exemplo vai ser LDAP Users. Clique em Next.

4.    Nesta janela clique no botão Add e em seguida clique em LDAP.

5.    Preencha a janela conforme mostra abaixo:

 

 

Figura 4 – Configuração do grupo LDAP.

 

1.    Clique OK, depois clique em Next e em seguida Finish.

 

Nota: Aplique as configuração no servidor ISA clicando em Apply.

 

 

5. Criação do Web Listener

 

O próximo passo é a criação do Web Listener. Este é um passo muito importante pois há uma série de parâmetros que precisam ser configurados corretamente. Um deles é o certificado que será usado externamente. Vejamos então o passo a passo:

 

1.    Na console do servidor ISA clique em Firewall Policy (Array / Nome do Servidor).

2.    No painel da direita clique no Toolbox clique em Network Objects e em seguida clique em New / Web Listener.

3.    A janela de assistente de configuração aparece, nesta janela iremos digitar o nome do Listener. Para este exemplo vai ser Web Contoso. Clique em Next.

4.    Na tela seguinte escolha a opção Require SSL secure connections with clients e em seguida clique em Next.

5.    Na tela de escolha do endereço IP selecione a opção que corresponde a placa Externa.

6.    Em seguida será necessário selecionar o certificado, para isso mantenha a opção Use a single certificate for this Web Listener e clique no botão Select Certificate. Uma outra janela aparecerá, selecione o certificado, clique OK e em seguida em Next.

 

Nota: Nesta tela é importante enfatizar que:

 

·         Caso o certificado não apareça nesta janela é porque ele ainda não foi instalado no servidor ISA.

·         Caso você tenha um array com mais de um servidor ISA e o certificado só estiver instalado em um servidor, não será possível fazer este vínculo. É preciso instalar o certificado em todos os membros do array.

 

 

7.    Na tela seguinte aparecerá o método de autenticação. Selecione as opções de acordo com a janela abaixo e depois clique em Next:

 

Figura 5 – Métodos de Autenticação.

 

1.    Na tela seguinte desmarque a opção de Single Sign On. Em seguida clique em Next.

2.    Clique em Finish para finalizar a criação.

 

Nota: Aplique as configuração no servidor ISA clicando em Apply.

 

 

6. Publicação do Site Seguro

 

Agora que já temos a porção LDAP da configuração e o Web Listener prontos é necessário a publicação do site web. Vejamos o passo a passo:

 

1.    Na console do servidor ISA clique em Firewall Policy (Array / Nome do Servidor).

2.    Clique com o botão direito em Firewall Policy, aponte para New e clique em Web Site Publishing Rule.

3.    Na janela do wizard que aparece, digite o nome da regra, neste caso Contoso Web Site. Em seguida clique em New.

4.    Na janela seguinte escolha a opção Allow e clique em Next.

5.    Na janela seguinte clique em Publish a single Web Site or load balancer. Em seguida clique em Next.

6.    Nesta janela selecione a opção Use SSL to connect to the published Web Server or server farm. Em seguida clique em Next.

 

Nota: A escolha desta opção vai depender da configuração do servidor Web. Se o mesmo requerer certificado para autenticação de cliente então é necessário especificar o certificado aqui. Caso contrário escolha a segunda opção.

 

7.    É preciso especificar agora o nome do site e o endereço IP ou nome completo do servidor web. Neste caso será WSRVCT.contoso.com. Em seguida clique em Next.

8.    Na janela seguinte mantenha a opção padrão e clique em Next.

9.    Em seguida será digitado o nome publico para este site. Neste caso será www.contoso.com. Em seguida clique em Next.

10. Nesta janela selecione o Web Listener criado no passo anterior. Em seguida clique em Next

11. Na janela de autenticação selecione a opção Negotiate (Kerberos/NTLM). Mantenha o SPN padrão sugerido e em seguida clique em Next.

12. Na tela de User Set será necessário remover o grupo existente e adicionar o grupo criado na sessão 4 (LDAP Users). Em seguida clique em Next e depois em Finish.

 

Nota: Aplique as configuração no servidor ISA clicando em Apply.

 

7. Testando a Configuração

 

Para testar a configuração vamos para a estação que está conectada na Internet e acessaremos o web site https://www.contoso.com. Após acessar este site entraremos com as credenciais do usuário usando o formato DOMÍNIO\NOME_DO_USUÁRIO e em seguida selecione a opção I want to change my password after logging in. Após isso clique no botão Log on. Digita a senha antiga e a nova senha:

 

 

Figura 6 – Janela de troca de senha.

 

Ao clicar no botão Change Password a tela a seguir aparecerá:

 

 

Figura 7 – Janela de troca de senha.

 

Com esta tela de confirmação fica comprovada a alteração da sua senha de domínio.

 

 

4. Conclusão

 

Já temos o ambiente funcional e sem nenhum problema neste momento. Na prática, em um cenário de produção, outros problemas podem aparecer caso as configurações não estejam corretas. Para entender como isolar os problemas e chegar a causa raiz não deixe de ler a próxima sessão.

 

Até a próxima.