PUBLIER EXCHANGE 2003 A TRAVERS ISA 2004 : 2 OU TROIS CHOSES A SAVOIR. (PARTIE 1)

Publié le par Teruin

La publication des services Exchange 2003 à savoir OWA, Active Sync/ Pop / Imap4 , Rpc Over http/ Oma est certes facilitée à travers ISA 2004 mais la connaissance de quelques astuces vous permettra de faciliter sans mise en œuvre..

1.1    Un paramétrage facilité par des assistants.

Un des avantages d’ISA 2004 est l’emploi des assistants qui font tout ou presque.

Cependant à moins d’une configuration toute particulière il faudra revenir sur le paramétrage prédéfini par l’assistant.

1.1.1   Publier OWA

La publication OWA peut s’effectuer de plusieurs façons. La première et selon nous la plus sécurisée, est d’employer l’authentification par formulaire (Form Based Authentification) présente dans ISA 2004. Cette méthode à pour avantage principal l’authentification des utilisateurs par ISA serveur et non par votre serveur de messagerie, à travers le traditionnel formulaire Exchange 2003.

 

La seconde est de publier simplement le serveur Web Exchange à travers une simple règle de publication. L’authentification s’effectuera par formulaire le cas échéant mais pas obligatoirement, et celle ci sera effectuée par votre serveur Exchange frontal ou dorsal. Dans le cas de petite structure, c’est effectivement le serveur dorsal qui sera publié en direct sur le réseau internet ce qui l’expose évidement et directement aux attaques applicatives.

1.1.2   L’authentification FBA

L’authentification par formulaire proposée dans ISA 2004 est bien évidement la plus sécurisée mais elle comporte certains inconvénients qui sont : son incompatibilité  avec l’authentification de base (ou tout autre méthode d’ailleurs) employée lors de la publication des fonctionnalités RPC over http et quelle ne peut s’effectuer comme son nom l’indique, que par formulaire nécessitant par conséquent l’utilisation de SSL.

 

Autrement dit, si vous ne disposez que d’une seule adresse IP publique, le problème se posera alors, car l’utilisation des fonctionnalités FBA sur ISA nécessitant SSL ne pourra pas être hébergée sur la même adresse IP que celle qui sera utilisée pour Rpcoverhttp qui elle aussi utilise SSSL mais à recours à une authentification de base.

 

De souvenir, il vous faudra également désactiver l’emploi des formulaires sur votre serveur backend ce qui peut être gênant vis-à-vis de l’utilisation de OWA en interne qui n’offrira pas la même interface de connexion que celle utilisée via l’extérieur.

 

La solution consiste alors à utiliser deux adresses IP publiques mais ceci oblige par conséquent à avoir recours à deux certificats privés. (Pour info, je vous conseille l’usage de Tawthe meilleur marché que certains certificats provenant d’autorité beaucoup plus connue sur le marché français.)

 

Dans le cas d’un seul et unique serveur backend Exchange 2003 sur lequel vous n’avez positionné qu’une seule adresse IP, vous ne pourrez positionner qu’un seul certificat ce qui en soit n’est pas gênant à condition de paramétrer vos règles de publication correctement.

 

En effet, au sein de l’assistant lors de la publication rpcoverhttp il vous sera demandé le nom du serveur interne et la façon dont vous voulez crypter les flux, soit uniquement du serveur Isa 2004 au client web,  soit du serveur Exchange au serveur ISA2004 et pour finir du serveur ISA 2004 au client (Cryptage de bout en bout).

1.1.3   Bien renseigner son nom de serveur interne

Si vous désirez crypter les flux de bout en bout, l’usage d’un certificat positionné sur votre IIS Exchange est nécessaire. Par contre, lorsque l’assistant vous demandera le nom de votre serveur interne, n’indiquez pas son FQDN interne car ce dernier n’est pas référencé comme tel dans le certificat, il faudra préciser alors le nom externe.  Le risque évident dans ce type de configuration est que le serveur ISA tente de joindre via la résolution DNS , le serveur en interne via une adresse IP externe. Si c’est le cas, alors la connexion à votre OWA échouera.  La solution consiste par conséquent à employer la bonne veille méthode du fichier HOST au sein de l’environnement Windows 2003 d’ISA et de lui indiquer que le nom externe correspond à une adresse IP interne. Cela fonctionne tout à fait correctement et cela est même possible sur les Appliance Network Engine.

1.1.4   Changer son mot de passe a travers ISA 2004 et OWA

Owa ne propose pas de base l’usage du changepassword. Pour cela vous devrez vous rendre dans la base de registre afin de l’activer. Par contre vous pourrez facilement vous rendre compte qu’à travers Isa cela ne fonctionne pas. L’astuce est de rajouter dans la règle de publication OWA au sein de l’onglet « chemin » , la valeur /IIADMPWD/*.

Faite également attention à la stratégie de gestion des comptes en cours sur votre domaine Active Directory qui peut vous empêcher de changer les mots de passe fréquemment à travers l’interface OWA.

Commenter cet article