Por Yuri Diogenes and Daniel Seveso

 

Introducción

Recientemente fue publicada la versión en inglés de la guía de implementación de Microsoft Communicator Web Access 2007 (en adelante CWA), el componente de Office Communications Server 2007 que provee la interface basada en Web para el servicio de Office Communicator. Esta guía explica como configurar ISA Server 2006 para publicar CWA usando autenticación “Single Sign On” que provee una interface de autenticación similar a la de OWA, escenario en el que se usa LDAP para acceder Active Directory y validar las credenciales de usuario.

 

Algunos de nuestros clientes se han mostrado interesados en mostrar una interface de autenticación uniforme para usuarios de CWA dentro y fuera de la organización, proveyendo una experiencia similar al requerir la autenticación.

 

En este artículo explicaremos los pasos de configuración necesarios en CWA e ISA Server 2006 para lograr este objetivo.

Configuración de Office Communicator Web Access 2007 para acceso externo:

El primer paso para configurar CWA para acceso externo, es crear un nuevo Virtual Web Server que escuche los requerimientos provenientes desde ISA.  Estos serían los pasos necesarios:

 

  1. En la consola de administración de Office Communicator Web Access, presionas botón derecho y eliges “Create a Virtual Web Server” para ejecutar el asistente. Presiona “Next”
  2. En “Select Virtual Server Type” eliges la opción “External” y presionas “Next”.
  3. Deja la opción por omisión “Use Built-in Authentication” y selecciona “Next”.
  4. Como seleccionamos “External” en el tipo de servidor virtual, la única opción disponible es “Forms-based authentication” la que ya está seleccionada. Presiona “Next”.
  5. En el tipo de conexión selecciona “HTTPS” eligiendo el certificado que vas a usar para el server interno. (puedes encontrar las instrucciones de cómo pedir el certificado en el documento “Microsoft Office Communicator Web Access – Guide to Lab Deployment
  6. En el diálogo “Select IP Address and Port Settings” configure el número de puerto en el que ISA escuchará sus requerimientos externos de CWA. Este puerto será el mismo que configuraremos en el tab de “Bridging” de la regla de publicación de ISA para el servicio. Presiona “Next” para continuar.
  7. Digita una descripción para el nuevo site, por ejemplo “Form on CWA”
  8. Deja configurada la opción de iniciar el Virtual Server luego de finalizar el asistente y presiona “Next” para continuar.
  9. Revisa las opciones elegidas y presiona “Next”
  10. En este paso será creado el Virtual Sever y se generará un log para revisión del resultado de esta operación. Presiona “Finish”
  11. Luego de la creación del virtual server, la consola de Communicator Web Access Manager se verá como sigue:

 

 

Como puedes ver en los recuadros rojos, la autentificación Windows aparece con una cruz roja. Esto es esperado, debido a que hemos creado el virtual server como “External”. Puedes ver también el resto de las propiedades de conectividad y autenticación.

 

Configurando la regla de publicación en ISA Server 2006

Ahora que tenemos CWA configurado y listo para ser accedido, crearemos la regla de publicación en ISA. Es importante destacar que necesitamos tener un certificado instalado en ISA Server 2006, el cual será usado para la comunicación externa segura. El nombre (common name) del certificado, necesita coincidir con el FQDN del sitio público a través del cual accederemos al servicio, y también el que debemos definir en la configuración del Listener. Por ejemplo https://cwa.alpineskyhouse.com.

 

Para crear la regla de publicación, sigamos los siguientes pasos:

 

1.    En la interface de administración de ISA, botón derecho sobre el nodo “Firewall Policy”, y elegimos la opción “New/Web Site Publishing Rule”

2.    Digita el nombre de la regla (por ejemplo Communicator Web Access) y presiona “Next”

 

 

3.    En el diálogo “Select Rule Action”, selecciona la opción “Allow” y presiona “Next”.

 

 

4.    En el dialogo “Publishing Type”, selecciona la opción “Publish a single Web Site or Load Balancer” y luego presiona “Next”. 

 

 

5.    En el diálogo “Server Connection Security” selecciona la opción “Use SSL to connect to the published web server or server farm” y presiona “Next’’. 

 

 

6.    En el diálogo “Internal Publishing Details”, digita el nombre complete del servidor interno en “Internal site name”. Selecciona la opción “Use a computer name or IP address to connect to the published server”  e ingresa el nombre complete del servidor interno en “Computer name or IP address”. El botón de Browse lo puedes usar para buscar la máquina en DNS.

 

 

 

7.    En el diálogo “Internal Publishing Details”, digita /* y luego presiona “Next”.

 

 

 

8.    En el diálogo “Public Name Details” selecciona la opción “Accept requests for: this domain name (type below)”. En la opción “Public name”, escribe el nombre publico que hayas definido para CWA. Recuerda que este nombre tiene que coincidir con el nombre del certificado que instales en ISA para esta URL. Presiona “Next”.

 

 

 

9.    En el diálogo “Select Web Listener” selecciona New. Digita el nombre para este Web Listener y luego presiona “Next”.

10. En el diálogo “Client Connection Security” selecciona la opción “Require SSL secure connection with clients” y presiona “Next”.

 

 

 

11. Selecciona la interfase “External” y presiona “Select IP Address”. Selecciona la opción “Specified IP addresses on the ISA Server computer in the selected network”. Si estás usando NLB en la red “External”, debes elegir la IP Virtual que aparecerá en el campo “Available IP Address”. Si no estás usando NLB, selecciona la dirección IP de la tarjeta externa que aparecerá en “Available IP Addresses” y presiona OK. Presiona “Next” para continuar.

 

 

 

12. En el diálogo de “Listener SSL Certificates” selecciona “Use a single certificate for this Web Listener” y presiona “Select Certificate”. Elige el certificado que fue instalado en este servidor ISA y presiona “Select

 

 

 

 

Nota: Si estás usando ISA Server 2006 Enterprise con múltiples nodos en Array, necesitas instalar este certificado en ambos Servidores.  Encontrarás información adicional sobre instalación de certificados en ISA en Troubleshooting SSL Certificates in ISA Server Publishing.

 

13. En el diálogo “Authentication Settings” selecciona “No Authentication”. Como mencionamos anteriormente, la autenticación será hecha por la interface de CWA 2007 permitiendo que el usuario use la misma interface tanto dentro como fuera de la compañía. Por lo que no autenticaremos en el Listener.

 

 

 

14. En el dialogo de “Single Sign On Settings”, presiona “Next” y luego “Finish”.

15. Luego que regreses al “Web Publishing Rule Wizard”, presiona “Next” para continuar.

16. En el diálogo “Authentication Delegation” selecciona la opción “No delegation, but client may authenticate directly”. Presiona Next”.

 

 

 

17. En el diálogo “User Set” deja la opción “(All Users)” para que se defina como regla anónima y presiona “Next”, luego “Finish”.

18. Antes de aplicar estos cambios a la configuración de ISA, tenemos que cambiar la configuración de la regla de publicación para dirigirla al puerto donde está escuchando el servidor de CWA. En nuestro caso es el puerto 4445. Esto se cambia en las opciones de Bridging de la regla de publicación. Con botón derecho sobre la regla de publicación recién creada, vamos al tab de “Bridging” y cambiamos el puerto SSL a 4445:

 

 

 

Luego de completar la configuración, ya estaremos en condiciones de acceder a CWA desde fuera de la organización. Esta sería la interface de autenticación que verán los usuarios:

 

 

 

 

Luego de ingresar las credenciales del dominio en la forma dominio\usuario aparecerá la ventana de CWA:

 

 

 

La interface de CWA es muy similar a la del cliente normal de Communicator, y es tan rápida como el cliente también, lo que la hace muy atractiva para usarla dentro y fuera de la organización.

 

Saludos y hasta la próxima.

 

 

Yuri Diogenes

Security Support Engineer – Microsoft ISA Server Team (Texas)

 

Daniel Seveso

Support Escalation Engineer – Microsoft Latam Team (Texas)