Forefront TMG 2010 – część 12 – Publikacja zasobów – tworzenie reguły oraz listenera

Udostępnij na: Facebook

Autor: Jacek Światowiak

Opublikowano: 2011-12-08

Wprowadzenie

W poprzedniej części cyklu omówiono publikację najprostszego z serwerów, serwera typu Non-Web. W uproszeniu można tu również mówić o prostym przekierowaniu portów. Jednakże, jak pokazuje praktyka, istnieje coraz więcej wymienianych informacji oraz coraz więcej usług korzysta z protokołu HTTP (HTTPS). W znacznej części tego artykułu, zostanie omówiona publikacja protokołu http poprzez serwer TMG 2010.

Publikacja serwerów typu Web

Aby opublikować dowolny z serwerów, przejdź na poziom Firewall Policy i z menu, znajdującego się w prawym oknie, wybierz zakładkę Tasks, a w niej Publish Web Server.

Rys. 12.1. Wybór kreatora publikacji serwera WWW.

W oknie pierwszym — Welcome to the New Web Publishing Rule Wizard (Rys. 12.2.) — nadaj unikalną nazwę regule publikowanego serwera WWW.

Rys. 12.2. Kroki kreatora publikacji serwera WWW – okno wstępne.

W kroku drugim — okno Select Rule Action (Rys. 12.3.) — określ akcję związaną z daną regułą: czy dany ruch ma być dozwolony (domyślne — Allow), czy zablokowany (Deny).

Rys. 12.3. Kroki kreatora publikacji serwera WWW — okno Select Rule Action.

W oknie trzecim, Publishing Type (Rys. 12.4.), zdefiniuj, co podlega publikacji:

  • Pojedynczy serwer WWW lub sprzętowe urządzenie typu Load-balancer.
  • Farma serwerów o określonej nazwie (mechanizm zostanie pokazany w części poświęconej publikacji serwerów Exchange 2007/2010).
  • Kilka serwerów WWW jednocześnie.

Rys. 12.4. Kroki kreatora publikacji serwera WWW — okno Publishing Type.

W kolejnym oknie, Server Connenction Security (Rys. 12.5.), dokonaj wyboru typu komunikacji pomiędzy serwerem TMG, a publikowanym serwerem WWW. Domyślna opcja to komunikacja szyfrowana (secure connection), gdyż TMG zaleca ten typ publikacji w przypadku uwierzytelniania do serwera WWW. O tym fakcie informuje komunikat przy znaku wykrzyknika. W omawianym przykładzie publikowany jest serwer bez uwierzytelniania, zatem wybrano opcję drugą (non-secure connection).

Rys. 12.5. Kroki kreatora publikacji serwera WWW — okno Server Connection Security.

W oknie Internal Publishing Details (Rys. 12.6.) podaj nazwę wewnętrzną publikowanego serwera (taką, którą można rozwiązać, korzystając z wewnętrznego serwera DNS). Jeżeli nazwa z jakiejś przyczyny nie jest zdefiniowana w serwerze DNS, zaznacz opcję Use a computer name or IP adress to connect to the Publisher Server. W tym przykładzie dysponujesz wewnętrznym serwerem DNS, rozwiązującym nazwy, zatem nie jest wymagane definiowanie adresu IP serwera WEB).

Rys. 12.6. Kroki kreatora publikacji serwera WWW — okno Internal Publishing Details.

W następnym kroku, możesz określić, które z folderów wewnętrznych mają być publikowane — (opcja Path) – domyślnie struktura folderów publikowana na zewnątrz odzwierciedla strukturę folderów widzianą od wnętrza sieci. Dzięki tej zakładce można publikować określone foldery, zamiast całego serwera. Zagadnienie prezentuje okno Internal Publishing Details, które zostało przedstawione na Rys. 12.7.

Rys. 12.7. Kroki kreatora publikacji serwera WWW — okno Internal Publishing Details.

Dodatkowa opcja Forward the original host header instead of the actual one specified in the Internal site name field on the previous page zostanie omówiona podczas analizowania właściwości zaawansowanych reguły publikacji serwera WWW, w następnej części artykułu.

Na Rys. 12.8. przedstawione zostało okno – Public request Details, które pozwala na określenie nazwy zewnętrznej publikowanego serwera WWW oraz na określeniu, czy publikowana ma być cała zawartość, czy ściśle określone foldery serwera. Pole Accept request for: pozwala ograniczyć publikację do określonej nazwy serwera, zdefiniowanej w polu Public Name. Opcja domyślna dla pola Accept request for: to This domain name (type below).

Rys. 12.8. Kroki kreatora publikacji serwera WWW — okno Public Name Datails.

Listener

W następnym oknie, Select Web Listener (Rys. 12.9.), musisz powiązać obiekt sieciowy o nazwie Listener z daną regułą publikacji serwera WWW. Obiekt ten reprezentuje gniazdo sieciowe (nasłuchujące na danym adresie IP, numerze portu oraz określonej metodzie uwierzytelniania), którego celem jest przekazywanie ruchu sieciowego, pomiędzy klientem zewnętrznym a serwerem wewnętrznym, wraz z dokonywaniem koniecznych zmian w strumieniu danych HTTP czy HTTPS. Okno pozwala na wybór listenera z listy dostępnych lub utworzenia nowego.

Rys. 12.9. Wybór lub tworzenie listenera.

Jeżeli listener nie jest zdefiniowany, to klikając przycisk New…, możesz z poziomu kreatora publikacji serwera WWW automatycznie przejść do kreatora tworzenia listenera WWW. Rys. 12.10. pokazuje pierwsze okno kreatora konfiguracji listenera. W oknie tym — Welcome to the New Web Listener Wizard — określ unikalną nazwę tworzonego listenera.

Rys. 12.10. Okno kreatora nowego listenera.

Listener może realizować transmisję do klienta w postaci niezaszyfrowanej (opcja Do not require SSL secured connection with client) lub w postaci zaszyfrowanej (opcja Require SSL secured connection with client). W przypadku wyboru komunikacji szyfrowanej będzie konieczność związania z listenerem odpowiednio przygotowanego certyfikatu SSL (proces konfiguracji przedstawiony będzie w dalszych częściach wraz z omówieniem zabezpieczonej publikacji serwerów WWW). Do publikacji serwera WWW wybierz teraz tryb niezaszyfrowany — Do not require SSL secured cennections with client. Jest to komunikacja pomiędzy klientem a serwerem TMG. Konfigurację prezentuje okno Client Cenenction Security — Rys. 12.11.

Rys. 12.11. Wybór komunikacji z klientem (szyfrowanej lub nieszyfrowanej) — okno Client Connection Security.

W kolejnym oknie — Web Listener IP Address (Rys. 12.12.) — określ, z jakich sieci listener będzie nasłuchiwał żądań. Dodatkowo żądana treść może być kompresowana przed wysłaniem do klienta (metodą gzip/deflate), o ile dany klient (np. przeglądarka internetowa) obsługuje komunikację kompresowaną. Kompresja jest domyślnie włączona.

Rys. 12.12. Wybór sieci oraz adresów IP, na których ma nasłuchiwać tworzony listener — okno Web Listener IP Addresses.

W przypadku, gdy do danego interfejsu sieciowego przypisany jest więcej niż jeden adres IP, aktywny jest przycisk Select IP Addresses… Wówczas możesz wybrać, czy listener ma nasłuchiwać na wszystkich przypisanych adresach IP, czy na konkretnym. Listener domyślnie nasłuchuje na wszystkich przypisanych do danego interfejsu sieciowego adresach IP. Wybór adresów IP, przypisanych do danego listenera, pokazuje okno External Network Listener IP Selection, pokazane na Rys. 12.13.

Rys. 12.13. Wybór adresów IP, na których ma nasłuchiwać tworzony listener — okno External Network Listener IP Selection.

*** ***

Listener — wybór metody uwierzytelniania

Na Rys. 12.15. przedstawiono wygląd okna Authentication Settings. Okno odpowiada za konfigurację opcji związanych z uwierzytelnianiem dostępu do danego serwera WWW. A precyzyjniej, odpowiada za wybór metody uwierzytelniania, zarówno klienta do serwera TMG, jak i serwera TMG do serwera pełniącego rolę weryfikatora (Active Directory/LDAP/RADIUS) — okno Authentication Settings. Dla domyślnej publikacji serwera WWW dostępne są trzy mechanizmy uwierzytelniania klienta, które pokazano na Rys. 12.14.

Rys. 12.14. Wybór metody uwierzytelniania klienta do serwera TMG.

Rys. 12.15. Wybór metody uwierzytelniania zarówno — okno Authentication Settings.

W przypadku serwerów o dostępie ogólnym (publicznym lub anonimowym) wybierz opcję No Authentication. Opcję uwierzytelniania w trybie anonimowym zaprezentowano na Rys. 12.16.

Rys. 12.16. Wybór metody uwierzytelniania –  uwierzytelnianie anonimowe.

Kolejne okno kreatora – Single Sign On Settings, pokazane na Rys. 12.17., pozwala na włączenie mechanizmu Single Sign-On (jest aktywne, gdy metodą uwierzytelniania będzie HTML Form Authentication).

Rys. 12.17. Okno konfiguracji mechanizmu Single Sign-On.

Ostatnie okno jest oknem podsumowującym i nie wnosi żadnej treści do procesu konfiguracyjnego. Okna nie będą tu przedstawiane.

Teraz wróć do reguły publikacji serwera WWW. Dysponujesz utworzonym listenerem, nasłuchującym na określonym adresie IP (w tym przypadku będzie to adres zewnętrzny serwera TMH, na porcie 80 — protokół HTTP, bez uwierzytelniania). Rys. 12.18. prezentuje informacje o wybranym listenerze wraz z jego parametrami:

  • sieć — External,
  • port HTTP — 80,
  • port HTTPS — wyłączony,
  • metoda uwierzytelniania — brak uwierzytelniania na serwerze TMH.

Rys. 12.18. Wybrany listener wraz z najważniejszymi parametrami.

*** ***

Listener — delegowanie poświadczeń

Jeżeli serwer WWW wymaga uwierzytelniania, serwer TMG jest w stanie zarządzać ruchem związanym z uwierzytelnianiem. W regule publikacji serwera WWW dostępne są podane niżej opcje. Zagadnienie prezentowane jest na Rys. 12.19. i 12.20. — Authentication Delagation.

  • No delegation and client cannot autheticate directly — jeśli nie ma konieczności uwierzytelnia, ruch będzie dozwolony. W przypadku, gdy serwer zażąda uwierzytelnienia dowolną metodą, komunikacja zostanie odrzucona. Opcja uniemożliwia zatem przekazywanie poświadczeń bezpieczeństwa od klienta poprzez serwer TMG do serwera końcowego.
  • No delegation, but client may authenticate directly — jeśli nie ma konieczności uwierzytelniania ruch będzie dozwolony. W przypadku, gdy serwer zażąda uwierzytelnienia dowolną metodą, serwer TMG przekaże żądanie podania poświadczeń bezpieczeństwa w trybie transparentnym. Nie jest modyfikowana metoda przekazywania poświadczeń. Dotyczy wyłącznie klasycznej metody uwierzytelniania — HTTP Authentication.

Rys. 12.19. Opcje delegacji poświadczeń — opcje przekazywania poświadczeń.

Rys. 12.20. Opcje delegacji poświadczeń — okno Authentication Delegation.

W następnym oknie — User Sets (Rys. 12.21.) — wskaż użytkowników, związanych z daną regułą. Dla publikacji nieuwierzytelnionej wybierz All Users (są to zatem wszyscy użytkownicy — zarówno uwierzytelnieni, jak i nieuwierzytelnieni, czyli anonimowi).

Rys. 12.21. Konfiguracja użytkowników związanych z daną regułą publikacji.

Okno podsumowania nie wnosi nic do procesu konfiguracji i zostanie pominięte.

Podsumowanie

W tej części przedstawiono publikację serwera Web wraz z tworzeniem nowego obiektu sieciowego zwanego listenerem. W następnej części omówione zostaną zaawansowane opcje utworzonej reguły publikacji serwera Web oraz samego listenera. W następnych częściach omówiony zostanie tryb publikacji, zabezpieczonych certyfikatem serwerów Web (HTTPS/SSL), oraz serwerów Web, wymagających uwierzytelniania.