Настройка наборов форм

Опубликовано: Ноябрь 2009 г.

Назначение: Forefront Threat Management Gateway (TMG)

Forefront TMG предоставляет различные методы проверки подлинности, которые можно применить к правилам веб-публикации для доступа клиентов к опубликованным веб-серверам. Когда выбрана проверка подлинности на основе веб-форм, пользователи направляются на HTML-форму, на которой вводятся учетные данные для проверки подлинности. Forefront TMG предоставляет наборы форм по умолчанию, предназначенные для проверки подлинности на основе форм. Эти наборы форм можно настроить, чтобы для различных опубликованных веб-сайтов формы входа выглядели по-разному.

В этом разделе представлен обзор наборов форм Forefront TMG и описаны способы их настройки.

Обзор HTML-форм

В следующих разделах описываются наборы HTML-форм, содержащиеся в Forefront TMG, и структура каталогов наборов форм Forefront TMG:

• Наборы форм Forefront TMG

• Каталоги наборов форм

Наборы форм Forefront TMG

Forefront TMG содержит предварительно настроенные наборы форм, расположенные в следующих папках:

• ISA — содержит все HTML-формы, которые могут потребоваться для проверки подлинности на основе форм по правилу веб-публикации, заданному для веб-прослушивателя или Forefront TMG.

• Exchange — содержит все HTML-формы, которые могут потребоваться для проверки подлинности на основе форм применительно к доступу веб-клиентов Microsoft Exchange.

Forefront TMG поддерживает три класса HTML-форм, упорядоченных при помощи наборов форм:

• HTML — предназначенные для стандартных браузеров.

• cHTML — предназначенные для браузеров, поддерживающих cHTML, например для мобильных устройств i-mode.

• xHTML — предназначенные для браузеров, поддерживающих xhtml-mp, например для Microsoft Windows Mobile® и других мобильных устройств.

Примечание.
Forefront TMG определяет тип нужных форм на основе заголовка агента пользователя, предоставленного мобильным клиентом.

Каждый набор форм содержит все HTML-формы, которые могут потребоваться клиентам для проверки подлинности на основе форм, например формы входа, формы выхода и формы SecurID. По умолчанию при создании нового веб-прослушивателя с проверкой подлинности на основе форм, выбранной в качестве метода проверки подлинности, набор форм выбирается автоматически. В зависимости от метода проверки подлинности, выбранного для веб-прослушивателя, Forefront TMG предоставляет форму входа одного из следующих типов:

• Форма для ввода пароля. В эту форму вводятся имя пользователя и пароль. Эти учетные данные требуются для проверки учетных данных Active Directory, LDAP и RADIUS.

• Форма для ввода секретного кода. В эту форму вводятся имя пользователя и секретный код. Эти учетные данные требуются для проверки одноразовых паролей методами SecurID и RADIUS.

• Форма для ввода секретного кода и пароля. В эту форму вводятся имя пользователя и секретный код, а также имя пользователя и пароль. Имя пользователя и код доступа используются при проверке подлинности для доступа к Forefront TMG с помощью методов проверки подлинности одноразовых паролей SecurID или RADIUS, а имя пользователя и пароль – при методе делегирования. Эта форма используется, когда администратор выбирает сбор в форме дополнительных учетных данных.

После создания веб-прослушивателя и правила веб-публикации можно указать, что должны использоваться различные формы. Кроме того, свойства HTML-форм для правила веб-публикации могут перекрывать набор форм соответствующего веб-прослушивателя. Набор форм определяется одним их двух способов:

• Набором форм, указанным в веб-прослушивателе.

• Набором форм, указанным в правиле веб-публикации.

Дополнительных сведения о создании наборов форм см. в разделе Создание наборов настраиваемых форм.

Каталоги наборов форм

Каталог \%Каталог установки Forefront TMG%\Templates\CookieAuthTemplates содержит каталоги форм ISA и Exchange, содержащиеся в Forefront TMG. Вложенные в них каталоги содержат различные наборы форм.

Каждый каталог наборов форм содержит целый набор HTML-форм (HTM-файлов). Когда в Forefront TMG отображается HTML-форма, она заменяет прототипы в HTM-файлах строками из файла strings.txt, соответствующего параметрам языка в браузере пользователя, расположенного в папке языка каталога языков (nls), как изложено ниже.

Каталог ISA

Когда создается правило веб-публикации или публикации Microsoft SharePoint, автоматически используется набор форм из каталога ISA.

Каталог Exchange

Когда с помощью мастера создания правила публикации Exchange создается правило публикации доступа для почтовых веб-клиентов, для него автоматически выбирается набор HTML-форм из каталога Exchange. Папка Exchange содержит только набор HTML-форм. Чтобы для доступа веб-клиентов Exchange использовать наборы cHTML- или XHTML-форм, необходимо создать каталог Exchange\cHTML или Exchange\xHTML и скопировать в них содержимое папки Exchange\HTML.

Примечание.
Чтобы воспользоваться мастером создания правила публикации Exchange, в дереве консоли Управление сервером щелкните Политика межсетевого экрана, затем на вкладке Задачи нажмите кнопку Опубликовать доступ веб-клиента Exchange.

Каталог языков

Каталог языков, nls, содержит по одному вложенному каталогу с файлом strings.txt для каждого поддерживаемого языка. Когда в Forefront TMG отображается HTML-форма, прототипы в HTM-файлах заменяются строками из файла strings.txt, соответствующего языку в заголовке Accept-Language, полученного от браузера клиента и определяющего допустимый язык в этом браузере.

Когда в Forefront TMG не удается найти соответствие языку в заголовке Accept-Language, полученного от браузера клиента, в Forefront TMG используется файл strings.txt из каталога набора форм по умолчанию. Обратите внимание, что strings.txt является вариантом этого файла для английского языка.

Разрешения каталогов наборов форм

При установке Forefront TMG автоматически задаются разрешения для каталогов форм. Никогда не должны изменяться следующие разрешения:

• Полный доступ — применяется для членов группы локальных администраторов.

• Только чтение — применяется для учетных записей "Сетевая служба", так что Forefront TMG может прочесть содержимое этого каталога, когда выполняется под этой учетной записью.

Чтобы сохранить иерархию разрешений родительской папки, рекомендуется скопировать файлы в каталог набора форм, а не перемещать их в этот каталог.

Настройка наборов форм

В некоторых случаях может быть желательно, чтобы формы для некоторых опубликованных веб-сайтов выглядели по-другому. То, как выглядит форма, определяется набором форм. Можно или изменить существующий набор форм, или создать свой собственный настраиваемый набор форм.

В следующих разделах описываются:

• Настройка текстовых строк

• Использование настраиваемой графики

• Создание наборов настраиваемых форм

Примечание.

При настройке форм необходимо сохранить все поля исходной формы и все прототипы, которые Forefront TMG заменяет с помощью скрытых полей. Все теги ввода <input …> и теги формы <form…> в HTM-файлах должны остаться неизмененными, иначе формы не будут работать. Также нельзя изменять формат файла strings.txt. Папки Exchange и ISA при обновлении перезаписываются. Если производится настройка HTML-форм, обязательно сделайте резервную копию обновляемых файлов до применения любого исправления, обновления или пакета обновления. Если используется Forefront TMG Enterprise Edition, следует внести все изменения в наборы форм Forefront TMG на каждом элементе массива Forefront TMG. Чтобы изменения вступили в силу, служба межсетевого экрана должна быть перезапущена. Все файлы, находящиеся в каталоге настраиваемых форм, могут быть доступны анонимным пользователям, поэтому в них не должна содержаться секретная информация.

Настройка текстовых строк

Когда в Forefront TMG отображается HTML-форма, она заменяет прототипы в HTM-файлах строками из файла strings.txt, соответствующего языку, указанному в параметрах языка браузера клиента или указанного в веб-прослушивателе. Настройка текстовых строк выполняется посредством изменения строк в файле strings.txt, соответствующих прототипам в HTM-файлах.

Примечание.

Перед настройкой содержимого файла strings.txt рекомендуется сделать резервную копию изменяемого файла strings.txt. Все строки, которые изменяются или добавляются, следует закодировать в соответствии с синтаксисом HTML. Символ < нельзя включать в строку, его следует заменить сочетанием &lt;. Кроме того, если нужно включить в строку знак кавычки, следует использовать не двойную, а одинарную кавычку.

В следующем примере описано, как изменить текстовую строку для ввода имени пользователя на стандартной странице входа с ""Domain\user name:"" на "Alias:".

Изменение текста для ввода имени пользователя на стандартной странице входа

1. Откройте файл strings.txt в папке соответствующего языка, находящейся в каталоге nls.

2. Найдите строку, соответствующую прототипу @@L_username_ text. В файле strings.txt эта строка выглядит следующим образом: L_UserName_Text="Domain\User name:".

3. Измените эту текстовую строку на L_UserName_Text="Alias:".

4. Сохраните файл strings.txt. Когда будет создана HTML-форма, в ней будет отображаться новое значение @@L_username_text.

5. Чтобы изменения вступили в силу, перезапустите службу межсетевого экрана (Майкрософт).

Помимо изменения текстовых строк, можно добавить в форму новые строки. В следующем примере показано, как добавить строку в форму.

Добавление строки в форму

1. Откройте HTM-файл.

2. Добавьте прототип строки и сохраните этот файл. Прототип должен быть записан в следующем формате: @@L_stringname. Прототип не может содержать пробелов.

3. Сохраните HTM-файл.

4. Добавьте соответствующую строку в файл strings.txt. Эта строка должна быть записана в следующем формате: L_stringname="string text".

5. Сохраните файл strings.txt.

6. Чтобы изменения вступили в силу, перезапустите службу межсетевого экрана. Когда будет создана HTML-форма, в ней будет отображаться значение @@L_stringname.

Вопросы безопасности

Если файл strings.txt предоставляется для изменений третьей стороне, необходимо проверить, что к файлу не были добавлены нетекстовые данные, поскольку они могут послужить средством для проведения атак на сети.

Использование настраиваемой графики

Можно или заменить графику в конкретной форме, или заменить графику глобально во всех формах так, чтобы изменения вносились во всех HTM-файлах, относящихся к этой графике.

Графика, которую Forefront TMG использует в HTML-формах, находится в каталогах форм по умолчанию (ISA или Exchange). URL-адрес, используемый для ссылки на графику, записывается в следующем виде (здесь <имя_файла> — это имя файла, содержащее расширение имени файла): /cookieauth.dll?GetPic?formdir=@@FORMDIR&image=<имя_файла>.

В следующем примере описывается, как заменить графический файл эмблемы <lgntop.gif> на файл эмблемы своей компании <logo.gif>; в нем изменяется форма в каталоге HTML.

Замена графического файла эмблемы

1. Скопируйте файл logo.gif в каталог набора форм \%Каталог установки Forefront TMG%\Templates\CookieAuthTemplates\ISA\HTML.

2. Откройте HTM-файл, в котором находится ссылка на заменяемый файл графики.

3. Измените URL-адрес графического файла, заменив имя существующего файла <lgntop.gif>. Измененный URL-адрес: /cookieauth.dll?GetPic?formdir=@@FORMDIR&image=logo.gif.

4. Сохраните файл.

5. Чтобы изменения вступили в силу, перезапустите службу межсетевого экрана. Когда будет создана форма, в ней будет отображаться эмблема logo.gif.

Если требуется заменить графику глобально во всех формах, скопируйте графический файл в каталог форм, используя имя изменяемого графического файла.

Создание наборов настраиваемых форм

Можно создать настраиваемые формы, чтобы указать различные каталоги для форм, отличающиеся от каталогов по умолчанию ISA и Exchange, предусмотренных в Forefront TMG. Предположим, например, что вы публикуете доступ веб-клиента для двух различных компаний и вам желательно, чтобы у каждой компании была на странице своя эмблема и разные настраиваемые текстовые строки.

В следующей процедуре описано, как создать настраиваемые формы для этого примера.

Создание настраиваемых форм

1. Создайте новую папку в каталоге \CookieAuthTemplates\, например \%Каталог установки Forefront TMG%\Templates\CookieAuthTemplates\Company1.

2. Скопируйте содержимое папки ISA или Exchange в созданную папку. Если применяются только стандартные браузеры, необходимо скопировать только папку HTML.

3. Настройте форму в скопированном каталоге. Внесите любые изменения в текст в файле strings.txt в папке соответствующего языка или замените любые графические файлы. Не изменяйте никакие элементы HTML-формы, такие как <FORM> или <INPUT>.

4. Чтобы изменения вступили в силу, перезапустите службу межсетевого экрана.

5. Чтобы применить новый набор форм для веб-прослушивателя, укажите имя каталога на вкладке Формы данного веб-прослушивателя. Укажите только имя каталога, например Company1, а не полный путь к нему. В другом случае, когда требуется применить новый набор форм для правила веб-публикации, на вкладке Параметры приложения установите флажок Использовать настроенные HTML-формы и укажите имя каталога.

6. Чтобы гарантировать отображение форм только на определенном языке, на вкладке Формы веб-прослушивателя в поле Отображать HTML-формы на данном языке выберите соответствующий язык. Например, чтобы убедиться в том, что форма отображается только на английском языке независимо от параметров браузера клиента, выберите английский язык ([en]).

7. Повторите эту процедуру для второй компании (Company2)

8. Чтобы обновить конфигурацию, нажмите кнопку Применить на панели "Применить изменения".

Примечание.
Если используется выпуск Forefront TMG Enterprise Edition, каталог форм должен присутствовать на всех элементах массива Forefront TMG.

Параметры языка

По умолчанию в Forefront TMG при построении HTML-форм используется файл strings.txt из папки языка, указанной в параметре Языки в свойствах браузера клиента. Можно переопределить параметр языка клиента, указав язык в веб-прослушивателе. Кроме того, если Forefront TMG не находит файл strings.txt, соответствующий параметрам языка, используется файл strings.txt по умолчанию.

Примечание.
В каталоге по умолчанию находится файл strings.txt для английского языка. Можно изменить язык файла strings.txt по умолчанию, заменив этот файл файлом strings.txt из папки любого языка.