Настройка параметра отображения альтернативного доступа для внешнего URL

Прежде чем разрешить внешний доступ к сайту, необходимо создать отображение альтернативного доступа (alternate access mapping — ААМ) для конкретного веб-приложения. ААМ представляет собой значение заголовка хоста (наподобие https://portal. companyabc.com, http://server^, https://home, companyabc. com и т.д.), которое можно повсеместно применять к сайту по всем ссылкам. При его отсутствии внешние клиенты не смогут обращаться к внутренним ссылкам.

Чтобы настроить ААМ для нашего примера home. companyabc. com, выполните в вебприложении следующие шаги:

1. Откройте центр администрирования SharePoint.

2. Щелкните на ссылке System Settings (Параметры системы) в левой части экрана.

3. В разделе Farm Management (Управление фермой) щелкните на ссылке Configure Alternate Access Mappings (Настройка отображений альтернативного доступа).

4. Щелкните на кнопке Edit Public URLs (Правка общедоступных URL).

5. В разделе Alternate Access Mapping Collection (Семейство отображений альтернативного доступа) выберите семейство ААМ, соответствующее веб-приложению для адреса heme. companyabc. com.

6. В поле Internet (Интернет, рис. 14.2) введите необходимый ААМ, начинающийся с https://. В нашем примере надо ввести https://home.companyabc.com. Если к веб-приложению нужно будет обращаться по другим именам, введите здесь все возможные имена. Щелкните на кнопке Save (Сохранить).

'Ф

lijit

*

Iltd

STwePoint2mo Central Admtmstrabon ► Edit Pubbc Zone URLs

Wtetn*i* Accfs Wa pp^tf Cslertor SKar«f»oint - 80 -

EnfcteptfcU4|TClBattei.rtprttnatftrW<wa>'W)'tr<Wh wiute). HvC*bitImU!l.*uth«AIM. ItMbeutdlfrafejrhfr liepikURlbricmakiMMfciaA'aatrtwumMhtttKlAjii Qjfttae-mrf. tMpJ/gojrkneafl

РфЫ^А _

|ИПр»:/Лх><пьсегтфггуяЬе>оот

HpfAonng

Backup and Rector*

Магчг

вг4 НцгаЬсю

Corf4w**on Ц/гг*гШ

! 4

l_. ________Ъ hiaMtt»' PralKMlMetCff g *> i •

Puc. 14.2. Создание отображения альтернативного доступа для внешнего опубликованного использования

7. Просмотрите на всякий случай список отображений, а затем закройте центр администрирования SharePoint.

Создание правила публикации SharePoint с помощью Forefront TMG

После того как сертификат SSL с сервера SharePoint установлен на сервере Forefront TMG, можно приступить к созданию самого правила публикации Forefront TMG для защиты SharePoint с помощью следующей процедуры:

НА ЗАМЕТКУ

В описанной здесь процедуре приводится правило публикации SharePoint для линейки Forefront Edge, использующее на сайте аутентификацию на основе форм (FBA). Это позволяет генерировать стартовую страницу в продуктах Forefront Edge, чтобы выполнить предварительную аутентификацию подключений пользователя к SharePoint.

1. Откройте консоль Forefront TMG и щелкните на узле Firewall Policy (Политика брандмауэра) на дереве консолей.

2. Перейдите на вкладку Tasks (Задачи), и на панели Tasks щелкните на ссылке Publish SharePoint Sites (Публикация сайтов SharePoint).

3. Введите описательное имя для правила публикации — например, SharePoint Publishing Rule.

4. Выберите вариант публикации: один веб-сайт, несколько веб-сайтов или ферма серверов с балансировкой нагрузки (рис. 14.3). В данном примере была выбрана публикация одного обособленного веб-сайта. Щелкните на кнопке Next (Далее).

Нем SharePotnt РиЫкЬюд Rule Wizard

|1^

Sdeciffftto nlewSpilfchaA^fc Web АстевЬям) load bfeWB',! ■>fgfaiu,cyraHtfcWfrt Jtrr,

(• fciifahasnflc Web ate or load balancer]

Use iSa option Id pibfch a rtngle Web site, or to pAfch a toad balancer front irf sevcrd server»

С FubfahaserverfrmeFtoadbalaKedWebsmTre

Ifae frs option tahtve ForefranfTMG toad balance requests between а server farm frOrrored servers).

С pubt#)fsiittpkv*cbtites

Uk th* optton to pJbfeh таге #ип one Web tfte. A new nfc HI be created for eadi tftepifafcted

<B»d[ I tjot* I Canaj I

Puc. 14.3. Создание правила публикации fmefrcmt TMG для сайтов SharePoint

[ЗГлЗ

ForeftontTMG «I connect to №epOb№ed W*b KTvefcr server farmuing HTTPS (recommended)

^ litefwseaxedcomectonslDCDnrKctihep^Wied Web server or eme fans

<-.1 HTTPjW

ForefroniTWG wt conned to •«pcbferfied Vrt* server or server farming HTTP.

MfienixbtftogmerSS., an ярргдаЬЫу named SSL server certfficatetiuAbe nt^ed cnllie|x£№ed server, ircnuidi server htfie server Am

о

<6art | Hrx1> j СдтЫ |

Puc. 14.4. Настройка SSL для правила публикации

6. В диалоговом окне Internal Publishing Details (Информация внутренней публикации) введите имя сайта, которое применяется внутренними пользователями для доступа к серверу SharePoint. Просмотрите параметры подключения по IP-адресу или имени компьютера; это делает правило еще гибче. Щелкните на кнопке Next.

Глава 14

7. В следующем диалоговом окне выберите вариант Accept Requests for This Domain Name (Пропускать запросы для данного доменного имени) и введите FQDN сервера — например, home. companyabc. com. Это ограничит действие правила только запросами, направленными на разрешенный FQDN. Щелкните на кнопке Next.

8. В разделе Web Listener (Веб-слушатель) щелкните на кнопке New (Создать).

9. На первом экране мастера веб-слушателя введите описательное имя для слушателя, наподобие SharePoint HTTP/HTTPS Listener, и щелкните на кнопке Next.

10. Теперь нужно сделать выбор между SSL и не SSL. Этот выбор относится к трафику между клиентом и SharePoint, и здесь нужно всегда, когда это возможно, выбирать SSL. Щелкните на кнопке Next.

11. В разделе Web Listener IP addresses (IP-адреса веб-слушателя) выберите внешнюю (External) сеть и оставьте вариант All IP Addresses (Все IP-адреса). Щелкните на кнопке Next.

12. В разделе Listener SSL Certificates (Сертификаты SSL для слушателя) (если выбрано правило на основе SSL, иначе такого раздела не будет) щелкните на кнопке Select Certificate (Выбрать сертификат).

13. Выберите ранее установленный сертификат (если выбран SSL) и щелкните на кнопке Select (Выбрать). Щелкните на кнопке Next.

14. В качестве вида аутентификации выберите HTML Form Authentication (Аутентификация на основе HTML-форм), как показано на рис. 14.5. Оставьте выбранным вариант Windows (Active Directory) и щелкните на кнопке Next.

15. Следующее диалоговое окно — Single Sign On Settings (Параметры единого входа) — очень важно: оно позволяет обрабатывать весь трафик аутентификации только один раз через один слушатель. После аутентификации пользователь может получить доступ к любой другой службе, где бы она ни находилась: на сервере Exchange OWA, веб-сервере или другом сервере, который использует для определения полномочий то же доменное имя. В данном примере мы ввели в поле доменного имени для SSO строку. companyabc. com. Щелкните на кнопке Next.

SAUhwdMii4alhetcde(o Fudioil TMG. итЗ Ню» ГшвЬа < TMG vakd^cthvuata brii

3*dhowtiertiwlfXBvtieaedertjal«to Fuwfort TMG

rtMbnthelomi

the ipgontommiirKAjiteacMBooaffcldi former CKdtftHte.fuiBtiui* TMG чДцм the aedariiabfor aJthcrtcabon toixiMwd eerven

SMtwwforinrtTMQiilvAiaeGhrtatdnlldi

(* VIMMffclmOnda^ Г UMP(tamDMafy)

Г RADIUS

С RADIUS ОТ? Г RSASmxfIO

<Badt I I Caned |

Piic. 14.5. Выбор использования аутентификации на основе ебоЬм для правила пчбликаиии Forefront TMG

Часть III

16. Щелкните на кнопке Finish (Завершить), чтобы завершить работу мастера веб-слушателя.

17. После появления нового слушателя в диалоговом окне Web Listener (Веб-слушатель) щелкните на кнопке Next.

18. В разделе Authentication Delegation (Делегирование аутентификации) выберите в раскрывающемся списке вариант Basic (Базовое). Оно применяется при выборе SSL в качестве транспортного механизма. При использовании только HTTP рекомендуется использовать аутентификацию NTLM, чтобы не посылать пароль открытым текстом. Щелкните на кнопке Next.

19. В диалоговом окне Alternate Access Mapping Configuration (Настройка отображения альтернативного доступа), показанном на рис. 14.6, укажите, что SharePoint ААМ уже настроено — на сервере SharePoint в предыдущих шагах.

*1

Krmrtey»to«ndfiiirtiJty,ShgtfantnHBnateftcaHH№4«mHt be mfjgmd n> Ihe ShnPoint Mrvcr.

Until Wtirnate Access МаррЬпо(ААМ)йргорег^у configured onihe SharePoint server, ted SharePoint fvKfaenaltywfl be avdWefbruwrscanpecfryta fas ptfcfahed SharePoint

SharePointААМя already onfipuredcn the SharePomtfervgf

С SharePoHtMHisnotyetconfigured M»sc3ectthi$e0t>onifyou«e iraretfAAM Is configured.

<Badt | Next» | Caned |

Puc. 14.6. Создание правила публикации Forefront TMG для сайта SharePoint при уже настроенном ААМ

20. В разделе User Sets (Наборы пользователей) оставьте выбранным вариант All Authenticated Users (Все аутентифицированные пользователи). В более жестких ситуациях с помощью этого диалогового окна можно разрешить доступ к SharePoint только отдельным группам AD. В данном примере достаточно стандартного значения. Щелкните на кнопке Next.

21. Щелкните на кнопке Finish (Завершить), чтобы завершить работу мастера.

22. На панели информации щелкните на кнопке Apply (Применить), а затем укажите все нужные параметры управления и еще раз щелкните на кнопке Apply.

23. После этого щелкните на кнопке ОК, чтобы изменения вступили в силу.

Теперь правило появится на панели информации сервера Forefront TMG. Двойной щелчок на этом правиле выводит его параметры. Для просмотра различных параметров правил можно открывать различные вкладки. Правило можно настроить в соответствии с нужной конфигурацией с помощью дополнительных параметров.

Защита SharePoint с помощью усовершенствованного антивируса...*У17 Глава 14Э4/

Например, для настройки простого правила веб-публикации РВАдля SharePoint используется следующая информация:

• Вкладка General (Общие): Name (Имя) = SharePoint; Enabled (Включено) = установлено.

■Вкладка Action (Действие): Action to take (Требуемоедействие) = Allow (Разрешить); Log requests matching this rule (Записывать в журнал запросы, соответствующие этому правилу) = установлено.

■Вкладка From (Откуда). This rule applies to traffic from these sources (Этоправилоприменяетсяктрафикуизследующихисточников) = Anywhere (Отовсюду).

■ВкладкаТо (Куда). This rule applies to this published site (Этоправилоприменяетсякданномуопубликованномусайту) = home. companyabc. com; Computer name or IP address (Имяили IP-адрескомпьютера) = 10.10.10.105 (внутренний IP-адрес сервера SharePoint); Forward the original host header instead of the actual one (Направлять исходный заголовок хоста вместо реального, указанного в поле Internal Site Name) = установлено; Specify how the firewall proxies requests to the published server (Указать вид запросов брандмауэра к опубликованному серверу) = Requests appear to come from the Forefront TMG computer (Запросы выглядят пришедшими от компьютера Forefront TMG).

■Вкладка Traffic (Трафик). This rule applies to traffic of the following protocols (Это правило применяется к трафику следующих протоколов) = HTTPS.

■Вкладка Listener (Слушатель), кнопка Properties (Свойства).

• Вкладка Networks (Сети) — External (Внешняя), All IP addresses (Все IP-адреса);

• Вкладка Connections (Подключения) — Enable HTTP connections on port 80 (Разрешить HTTP-подключения к порту 80), Enable SSL connections on port 443 (Разрешить SSL-подключения к порту 443); HTTP to HTTPS Redirection (Перенаправление HTTP в HTTPS) = Redirect authenticated traffic from HTTP to HTTPS (Перенаправлять аутентифицированный HTTP-трафик в HTTPS);

■Вкладка Forms (Формы) — Allow users to change their passwords (Разрешитьпользователямизменятьсвоипароли). Remind users that their password will expire in this number of days (Напоминатьпользователям об истечении срока годности пароля за количество дней) = 15;

• Вкладка SSO — Enable Single Sign On (Разрешить единый вход), SSO Domains (Домены SSO) =. companyabc. com.

• Вкладка Public Name (Общедоступное имя). This rule applies to requests for the following websites (Это правило применяется к запросам к следующим веб-сайтам) = home.companyabc.com.

■Вкладка Paths (Пути). External paths (Внешниепути) = все<same as internaO (совпадаетсвнутренним); Internal paths (Внутренниепути) = /*, /_vti_inf.html*, /_vti_bin/*, /_upresources/*, /_layouts/*, /* (рис. 14.7).

• Вкладка Authentication Delegation (Делегирование аутентификации). Method used by the Forefront Edge line to authenticate to the published web server (Метод, используемый линейкой Forefront Edge для аутентификации опубликованного веб-сервера) = Basic authentication (Базовая аутентификация).

• Вкладка Application Settings (Параметры приложения). Use customized HTML forms instead Of the default (Использовать специализированные HTML-формы вместо стандартных) = сброшен.

Часть III

• Вкладка Bridging (Мост). Redirect requests to SSL port (Перенаправлять запросы в порт SSL) = 443.

• Вкладка Users (Пользователи). This rule applies to requests from the following user sets (Это правило применяется к запросам из следующих наборов пользователей) = All Authenticated Users (Все аутентифицированные пользователи).

• Вкладка Schedule (Расписание). Schedule = Always (Всегда).

• Вкладка Link Translation (Преобразование ссылок). Apply link translation to this rule (Применять к этому правилу преобразование ссылок) = установлено.

Для различных правил нужны различные настройки, но параметры, приведенные в данном примере, наиболее распространены и безопасны в рассмотренной ситуации.

В

*1

| Um I Schedule I IjrfcTran&tion AJhortication Delegation) ^picaGon Seffings Gcnaai j Action | Ffcm ] To | Tnrfttc J latener | Pjbfc Name Prta

Tb* life «pptea to iftquMbfartheMOdend paths Before towaftins a request. Fgrafrant TMGmodfieelheeJiemal path and mapittoihecofre4pcndngHwnalpJ*hon1heWeb*erver

EttaraJPdh oamea*Mamd><aame aiirtenA» <5ameasirtemai><same

<samca> internals

WemtfPelh

/jftJnfJtrt*

/jHi_b«n/*

/jjpresoica

/Jqnis/¹

Г

PathsnMtbedstfcctfraroeadJdlher Apathcanndtbeaprefacf imtherp^ 'ItaBfaueforeOen'aiandHantfpafha.

ЕхалрЬ:/р&А/* and УДОФ/* are dtefrct eternal and H«naJ

ГаШ | | OK | Сдтое! | |

Puc. 14.7. Вкладки при просмотре созданного правила публикации сайта SharePoint