
Dùng LDAP chứng thực Internet User trên ISA Server 2006 Stand Alone

Bài viết này hướng dẫn thực hiện việc dùng LDAP để chứng thực cho Internet User trong Publish Secure Web Server (hay Publish Secure Outlook Web Access) qua ISA Server 2006 Stand Alone


- Máy Domain Controller,
- Máy ISA Server 2006 Standard không join domain (Stand Alone Server)
- Máy Client dùng để test
- Bỏ Password policy.
- Trên máy Domain : Tạo OU : Test ==> trong đây tạo User u1/123 và group LDAPGroupcho u1 là thành viên của group này
- Lưu ý : Đây là môi trường giả lập nên địa chỉ Internet trong bài là / 24
Các bước triển khai :
  1. Trên máy domain :
    - Tạo Default Web Server
    - Install Certification Authority và xin certificate cho Default Web Server
  2. Trên máy ISA :
    - Xin certificate để làm Secure Web Server và Add Trusted RootCA.
    - Khai báo LDAP Server và cấu hình LDAP
    - Publish Secure Web Server
  3. Trên máy Client : Tạo file host và test
1. Trên máy domain:
a. Install Enterprise CA và tạo Secure Web Server
1. Vào Control Panel è Add/Remove Programs è Add/Remove Windows Components è check vào ô Application Server è Details è check vào ô ASP.netè OK
2. Check vào ô Certificate Services è Yes
3. Chọn Enterprise Root CA è Next
4. Trong Common Name for this CA : nhập vào NhatNghe-CA è Next è Next èchương trình sẽ tiến hành cài đặt…. è nhấn OK è chỉ đến nơi lưu trữ folder I386 (trên CDROM)
5. Nhấn Yes

b. Tạo Web Server (Default) và Cấu hình Secure Web Server
1. Mở Windows Explorer è Inetpub è wwwroot è tạo file Default.htm với nội dung như sau : Welcome to Web Default
2. Mở IE test : http://www.nhom01.local
3. Mở Administrative Tools è IIS è Web Sites è phải chuột trên Default Web Siteè Properties
4. Chọn tab Directory Security è trong Secure Communications è Server Certificate 
5. Trong Welcome to the Web Server Certificate Wizard è Next
6. Trong Server Certificate è Next
7. Trong Delayed of Immediate R****** è chọn Send the r****** … è Next
8. Trong Name and Security Settings è Next
9. Trong Organization Information è điền đầy đủ thông tin è Next
10. Trong Your’s Site Common Name è nhập : www.nhom01.localè Next
11. Trong Geographical Information è nhập đầy đủ thông tin è Next
12. Trong SSL port è Next
13. Trong Choose a Certification Authority è Next
14. Trong Certificate R****** Submission è Next è Finish è View …
15. Restart IIS Service … 

2. Trên máy ISA Server 2006:
a. Khai báo LDAP Server
1. Mở ISA Management è Configuration è Chọn Specify RADIUS and LDAP Server
2. Trong LDAP Server Set name: nhập vào NetBIOS domain name : nhom01 èclick Add
3. Trong Server name: nhập vào FQDN của domain name : pc02.nhom01.local
Trong Server description: nhập tùy ý è OK
4. Trong Type the Active Directory domain name: nhập vào DNS domain name : nhom01.local
5. Bỏ chọn option Use Global Catalog (GC)
Đánh dấu vào ô : Connect LDAP servers over secure connection 
Trong Username/Password : nhập vào UN/PW của domain admin : … è OK è đượchình 6
6. Click New
7. Trong Login expression : nhập vào nhom01\*
Trong LDAP server set : click phím mũi tên è chọn nhom01 è OK
8. Tiếp tục, click New è
Trong Login expression : nhập vào *@nhom01.local
Trong LDAP server set : click phím mũi tên è chọn nhom01 è OK


Nhấn Apply …
10. Nhấn Apply

b. Download RootCA và xin certificate cho máy ISA để làm Secure Web Server
1. Mở Internet Explorer è , nhập vào UN/PW của Domain Admin
2. Click lên dòng Download a CA Certificate, Certificate chain or CRL

3. Chọn Download CA Certificate
4. Chọn Save … è lưu ra ngoài Desktop … 
5. Sau đó, quay lại màn hình r****** certificate è chọn dòng R****** a certificateè xuất hiện màn hình sau :

Chọn dòng … advanced certificate r******
6. Trong Advanced Certificate R****** è click Creare and submit a r****** to this CA
Trong Certificate Template è click phím mũi tên è chọn Web Server
7. Trong phần Name, nhập vào thông tin mà máy Client sẽ dùng để truy cập web. Ở đây là www.nhatnghelab.net.
Các thông tin còn lại khai báo như trong hình
8. Kéo thanh trượt bên hông xuống phía dưới. Đánh dấu vào ô Store certificate in the local certificate è Submit è Yes
9. Click Install this certificate …è Yes …. è Yes … è Successfully
10. Vào Run : mmc è Add/Remove Snap-in è Add è Certificate è Computer account è Next è Finish è Close è OK
11. Clck Trusted Root Certification Authority è phải chuột trên Certificates è All Tasks è Import
12. Trong Welcome … è Next
Trong File to Import è Browse … chỉ ra nơi lưu trữ tập tin trong bước 4 ở trên èOpen è Next è Next è Finish è OK. Màn hình sau cùng như sau :
13. Kiểm tra lại certificate đang lưu trong Personal

c. Tạo LDAP User Set
1. Mở ISA Management è Firewall Policy è Toolbox è Users è New User Set :nhập vào LDAP User è Next
2. Click Add è LDAP
3. Trong LDAP server set : chọn nhom01
Trong Specified group or user : nhập LDAPGroup ; tên group đã tạo trên domain
1. OK
4. Nhập thông tin UN/PW của Domain Admin
5. Nhấn Next … Finish
6. Nhấn Apply

d. Publish Secure Web Server
1. Mở ISA Management è phải chuột trên Firewall Policy è New è Web Site Publishing Rule
2. Nhập : Publish Secure Web Server è Next
3. Trong Select Rule Action : Allowè Next
Trong Publishing Type : Publish a single web site or load balancerè Next
Trong Server Connection Type : chọn Use SSL to connect to the publish …è Next
Trong Internal Publishing Details : 
Internal site name : www.nhom01.local
Check vào ô Use a computername ... : www.nhom01.localè Next è Next
4. Trong Public Name Details, 
Accept r******s for: This domain name (type below)
Public name: www.nhatnghelab.netè Next
5. Trong Select listener è New è
Trong Web listener name : Secure Web Listener è Next
Trong Client Connection Security èchọn Require SSL .... è Next
Trong Web listener IP addresses : chọn External è Next
Trong Listener SSL Certificates : chọn Select Certificate
6. Click lên dòng www.nhatnghelab.netèNhấn Select è Next
7. Trong Authentication Settings
Trong Select how clients ... : chọn HTML Form Authentication
Trong Select how ISA .... : chọn LDAP (Active Directory) è Next
8. Trong Single Sign On Settings : bỏ chọn option Enable SSO for Web .... è Nextè Finish
9. Trong Select Web Listener è Edit
10. Trong Select Web Listener properties ètab Form : trong Password Management , lần lượt đánh dấu vào 2 option có trong đây.
Allow users to change their passwords
Remind users that their password will expire in this number of days : chỉnh còn lại 3 ngày
2. Apply è OK è Next è Next
11. Trong User Sets è Remove dòng All Authenticated Users è Add
12. Chọn LDAP User è Add
13. Màn hình User Sets như sau: ... è Next è Finish è Âply

3. Trên máy Client ( dùng để test)
a. Tạo file host
1. Mở Windows Explorer è Windows\System32\Drivers\etc : edit host bằng notepad
2. Thêm vào thông tin như hình : www.nhatnghelab.net

b. Kiểm tra việc chứng thực khi truy cập web và thay đổi password cho user
1. Mở IE : https://www.nhatnghelab.net
2. Trong Security Alert è View Certificate
3. Trong Certificate è Install Certificate è Next
Import vào trong Trusted Root Certification Authority è Next è Finish è Yes èOK
4. Quay lại màn hình Security Alert ènhấn Yes.
· Đánh dấu chọn vào ô “ I want to change my password after logon”
· Nhập vào UN / PW theo 1 trong 2 dạng sau : nhom01\u1 or u1@nhom01.local
5. Màn hình change password :
6. Màn hình hiển thị thông tin đã thay đổi password thành công è Continue
7. Kết quả :

0 nhận xét:

Post a Comment