Wer das Vergnügen hat die beiden genannten Systeme zum kommunizieren zu bewegen wird sich über die üppige Dokumentation freuen die es zu den Vorgängerprodukten gibt… die hilft so gut wie gar nicht weiter.
Ich gehe davon aus das RSA Authentication Manager 7.1 Sp3 bereits installiert wurde, ein Realm bzw. Security Domain eingerichtet wurde. Man meldet sich also an der RSA Security Console an und erstellt einen neuen “Authentication Agent”. Dazu klickt man auf Access, Authentication Agents, Add New.
Jetzt müssen die Felder ausgefüllt werden, also der Hostname des TMG Servers (Array), die IP Adressen die dazu gehören (natürlich nur die vom betreffenden Netzwerk). Bei Agent Type habe ich Standard Agent verwendet und das funktioniert, habe leider keine Dokumentation gefunden aus der hervorgeht welchen Typ man verwenden sollte. Bei “Agent may be Accessed by” kann konfiguriert werden ob sich alle (aktiven) Benutzer über den Authentication Agent anmeldn können oder nur Mitglieder bestimmter Gruppen.
Anschlißend muss man nur noch auf Save klicken und der Authentication Agent ist erstellt.
Jetzt braucht man eine Konfigurationsdatei für TMG Server. Also wieder auf Access, Authentication Agents klicken und dieses mal “Genereate Configuration File” wählen.
Wenn man dann auf “Generate Config File” klickt, erhält man eine Zip Datei die eine Datei sdconf.rec beinhaltet. Diese Datei muss auf allen TMG Array Mitgliedern in folgende Pfade kopiert werden.
- %windir%\system32
- %programfiles%\Microsoft Forefront Threat Management Gateway\sdconfig
Achtung: Die Datei muss unbedingt an beiden Orten vorhanden sein, sonst kommt es zu Fehlern wie: “106: The Web Server is busy. Try again later.”
Die RSA betreffende Konfiguration ist damit eigentlich schon abgeschlossen. Also sehen wir uns die Veröffentlichung am TMG an.
Es wird einfach eine normale Web Veröffentlichung konfiguriert, beim erstellen des Web Listeners ist auf folgendes Acht zu geben:
Die Authentifizierung erfolgt über ein HTML Formular, wenn hier noch “Collect addinoal delegation in the form” ausgewählt wird kann der Benutzer zusätzlich zum Username und RSA Passcode noch sein Active Directory Kennwort eingeben und TMG leitet es an den Web Server weiter. Dafür muss dann bei der Veröffentlichungsregel die Authentication Delegation auf Basic gesetzt werden und der Web Server dahinter muss natürlich Basic Authentication akzeptieren.
Das Integrierte HTML Formular von TMG sieht dann je nach Einstellung so aus. Will man OWA veröffentlichen kann man verwendet man natürlich besser den Assistant “Publish Exchange Web Client Access”. Achtung: Auf den Client Access Servern muss Basic Authentication aktiviert werden (Server Configuration, Client Access, owa).
Achtung: Mutlihomed TMG
Forefront TMG wird in den allermeisten Konfigurationen mit mehreren Netzwerkkarten installiert, ist ja schließlich eine Firewall. Dadurch weiß TMG (genauer gesagt ACEClient) nicht über welche Netzwerkkarte er den RSA Server erreichen kann, man sieht im Event Log die Warnung: “Multihomed host detected; Primary IP assumed is : x.x.x.x”. Die Event ID ist 1012 die Source ACECLIENT.
Das kann man beheben indem man zu Schlüssel HKLM\Software\SDTI einen Schlüssel ACIClient hinzufügt. Dieser bekommt dann einen String Value mit dem Namen “PrimaryInterfaceIP”. Der Wert entspricht der IP Adresse, des TMG, über die der RSA Server erreicht werden kann.
Viele Grüße
tom