在 ISA Server 2006 中配置基于 LDAP 的身份验证
在用户访问通过 ISA Server 2006 发布的 Web 服务时, ISA Server 2006 支持使用 LDAP 协议进行用户身份验证。LDAP(轻量级目录访问协议)是一种标准的目录服务访问协议。活动目录基于 LDAP 协议的最新版本 LDAP v3,每一个域控制器都是一个 LDAP 服务器,都可以通过 LDAP 协议进行访问。你可以让 ISA Server 2006 通过 LDAP 协议访问域控制器来实现用户的身份验证,而不需要将 ISA Server 加入到活动目录;ISA Server 2006 只支持使用基于 Windows Server 2003 或 Windows Server 2000 操作系统的域控制器提供的 LDAP 服务。
在采用 LDAP 进行身份验证时,客户端在输入身份验证凭据时,必须采用活动目录可以识别的格式,包括以下三种:
SAM 用户账户(domain\username);
用户主体名(username@domain.com)
区别名字(cn=administrator,dc=winsvr,dc=org)
在 ISA Server 2006 中配置基于 LDAP 的身份验证包含以下三个步骤:
配置 LDAP 服务器;
配置 LDAP 用户集;
配置 LDAP 身份验证;
在这篇文章中,我将先配置 LDAP 服务器,然后在创建 Web 发布规则的时候配置 LDAP 身份验证和 LDAP 用户集。
运行 ISA Server 2006 管理控制台,展开左边控制面板中的配置,然后点击常规,然后在中部的细节面板中点击指定 RADIUS 和 LDAP 服务器,
在弹出的身份验证服务器对话框,点击 LDAP 服务器,然后点击添加;
在弹出的添加 LDAP 服务器集对话框,在 LDAP 服务器集名输入服务器集的名称,在此我输入为 Berlin,并点击添加添加 LDAP 服务器,在此我添加的 LDAP 服务器为域 WinSVR.ORG 的域控制器 Berlin;在输入活动目录域名栏,输入 LDAP 服务器位于的活动目录域 winsvr.org;由于普通的域控制器只能验证属于本地域的用户,因此默认情况下是访问全局编录服务器,从而可以验证森林中的用户;另外,默认情况下是通过非加密的LDAP协议进行访问,为了更高的安全性,可以配置为通过加密的LDAPS协议进行访问,但是要求 ISA Server 信任颁发 LDAP 服务器证书的证书颁发机构;最后在底部输入具有此 LDAP 服务器访问权限的用户名和密码,点击确定;
LDAP 服务器集配置完以后,需要定义登录表达式。登录表达式用于决定哪个域的用户由哪个 LDAP 服务器集进行验证,点击新建添加登录表达式,添加格式为“域名\*”,在此我设置为将所有的域均通过 Berlin 进行验证,因此输入为“*”,完成后如下图所示,如果针对相同的登录表达式具有多个 LDAP 服务器集,则根据登录表达式的优先级进行处理,你可以点击上下箭头调整它们的优先级。完成后点击关闭;
此时 LDAP 服务器就配置完成了,在此我创建一个 Web 发布规则,使用 LDAP 身份验证,只允许 WINSVR\Domain Admins 用户组的访问。
右击防火墙策略,指向新建,选择Web站点发布规则;在弹出的欢迎使用新建Web发布规则向导页,输入规则名称后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用非安全连接来连接到被发布的Web服务器或服务器场(即使用HTTP协议进行连接),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),然后勾选使用计算机名或IP地址来连接到被发布的服务器,输入 Web 服务器的IP地址,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择侦听器页,点击新建,在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址,点击下一步;
在身份验证设置页,选择 HTTP 身份验证,然后选择 LDAP(活动目录),点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;