PUBLIER EXCHANGE 2003 A TRAVERS ISA 2004 : 2 OU TROIS CHOSES A SAVOIR. (PARTIE 1)
La publication des services Exchange 2003 à savoir OWA, Active Sync/ Pop / Imap4 , Rpc Over http/ Oma est certes facilitée à travers ISA 2004 mais la connaissance de quelques astuces vous permettra de faciliter sans mise en œuvre..
1.1 Un paramétrage facilité par des assistants.
Un des avantages d’ISA 2004 est l’emploi des assistants qui font tout ou presque.
Cependant à moins d’une configuration toute particulière il faudra revenir sur le paramétrage prédéfini par l’assistant.
La seconde est de publier simplement le serveur Web Exchange à travers une simple règle de publication. L’authentification s’effectuera par formulaire le cas échéant mais pas obligatoirement, et celle ci sera effectuée par votre serveur Exchange frontal ou dorsal. Dans le cas de petite structure, c’est effectivement le serveur dorsal qui sera publié en direct sur le réseau internet ce qui l’expose évidement et directement aux attaques applicatives.
L’authentification par formulaire proposée dans ISA 2004 est bien évidement la plus sécurisée mais elle comporte certains inconvénients qui sont : son incompatibilité avec l’authentification de base (ou tout autre méthode d’ailleurs) employée lors de la publication des fonctionnalités RPC over http et quelle ne peut s’effectuer comme son nom l’indique, que par formulaire nécessitant par conséquent l’utilisation de SSL.
Autrement dit, si vous ne disposez que d’une seule adresse IP publique, le problème se posera alors, car l’utilisation des fonctionnalités FBA sur ISA nécessitant SSL ne pourra pas être hébergée sur la même adresse IP que celle qui sera utilisée pour Rpcoverhttp qui elle aussi utilise SSSL mais à recours à une authentification de base.
De souvenir, il vous faudra également désactiver l’emploi des formulaires sur votre serveur backend ce qui peut être gênant vis-à-vis de l’utilisation de OWA en interne qui n’offrira pas la même interface de connexion que celle utilisée via l’extérieur.
La solution consiste alors à utiliser deux adresses IP publiques mais ceci oblige par conséquent à avoir recours à deux certificats privés. (Pour info, je vous conseille l’usage de Tawthe meilleur marché que certains certificats provenant d’autorité beaucoup plus connue sur le marché français.)
Dans le cas d’un seul et unique serveur backend Exchange 2003 sur lequel vous n’avez positionné qu’une seule adresse IP, vous ne pourrez positionner qu’un seul certificat ce qui en soit n’est pas gênant à condition de paramétrer vos règles de publication correctement.
En effet, au sein de l’assistant lors de la publication rpcoverhttp il vous sera demandé le nom du serveur interne et la façon dont vous voulez crypter les flux, soit uniquement du serveur Isa 2004 au client web, soit du serveur Exchange au serveur ISA2004 et pour finir du serveur ISA 2004 au client (Cryptage de bout en bout).
Si vous désirez crypter les flux de bout en bout, l’usage d’un certificat positionné sur votre IIS Exchange est nécessaire. Par contre, lorsque l’assistant vous demandera le nom de votre serveur interne, n’indiquez pas son FQDN interne car ce dernier n’est pas référencé comme tel dans le certificat, il faudra préciser alors le nom externe. Le risque évident dans ce type de configuration est que le serveur ISA tente de joindre via
Owa ne propose pas de base l’usage du changepassword. Pour cela vous devrez vous rendre dans la base de registre afin de l’activer. Par contre vous pourrez facilement vous rendre compte qu’à travers Isa cela ne fonctionne pas. L’astuce est de rajouter dans la règle de publication OWA au sein de l’onglet « chemin » , la valeur /IIADMPWD/*.
Faite également attention à la stratégie de gestion des comptes en cours sur votre domaine Active Directory qui peut vous empêcher de changer les mots de passe fréquemment à travers l’interface OWA.