SharePoint Webveröffentlichung mit Sophos UTM

In Zeiten wo das Microsoft Forefront Threat Management Gateway als Auslaufmodell betrachtet wird und die Preise für ein Microsoft Unified Access Gateway gegen eine SharePointveröffentlichung über dieses sprechen, ist es wichtig sich nach anderen Anbietern um zusehen. Mit der Beta 9.2 des Sophos UTM ist ein kleiner Schritt in die richtige Richtung unternommen wurden.

1. Vorraussetzungen

  • Funktionierende SharePoint Farm inklusive mindestens einer Webanwendung mit Sitecollection
  • Authentication Provider für Webanwendung steht auf NTLM und Basisauthentifizierung ist angehakt
  • Active Directory inkl. interner Domain
  • SharePoint Server ist teil der Domain
  • Installiertes und konfiguriertes Sophos UTM 9.2 mit mindestens zwei Netzkarten für das Domain-Netzwerk (bei mir 192.168.8….) und den externen Zugriff (bei mir 192.168.1….)
  • Eingerichteter Authentifizierungsserver im UTM inkl. SSO

2. Durchführung im Sophos UTM Webinterface

Als erstes erstellt man unter dem Punkt „Webserver Protection“ –> „Web Application Firewall“  –> Registerkarte „Echte Webserver“ einen neuen echten Webserver.

Echter Webserver

Dabei ist zu beachten, dass unter Host der SharePoint Server angelegt und eingetragen wird . Auch sollte man angeben über welche Schnittstelle der Host erreichbar ist. In unserem Fall ist das die interne (das Domain-Netzwerk).

SharePoint Host

 

Im zweiten Schritt legt man unter „Webserver Protection“ –> „Umkehrauthentifizierung“ –> Registerkarte  „Profile“ ein neues Authentifizierungsprofil an.

Umkehrauthentifizierung

Dabei ist zu beachten, dass unter Frontend-Bereich die externe IP bzw. die externe URL angegeben wird. Auch sollten unter Benutzer/Gruppen die Active Directory Users stehen, damit gegen das AD authentifiziert werden kann.

 Im dritten Schritt richtet man nun unter „Webserver Protection“ –> „Web Application Firewall“  –> Registerkarte „Virtuelle Webserver“ einen neuen virtuellen Webserver.

Virtueller Webserver

Dabei werden die externe IP bzw. Domain angegeben und der echte Webserver zugeordnet. Außerdem sollte man bei den Firewall-Profil aufpassen und eventuell ein neues Anlegen, da die Standardprofile von Sophos UTM mit SharePoint Probleme machen.

Im letzen Schritt ordnet man unter „Webserver Protection“ –> „Web Application Firewall“  –> Registerkarte „Site-Path-Routing“ das erstellte Umkehrauthentifizierungsprofil zu.

Umkehrauthetifizierungsprofil

 

 

 

 

 

 

 

Nun wird beim Aufruf der externen IP bzw. Domain das Loginformular des Sophos UTM angezeigt.

Login Formular

 

Damit nun auch noch der Login am SharePoint klappt müssen noch zwei weitere Schritte durchgeführt werden.

Zu ersten muss die externe Domain bzw. IP in der SharePoint Zentraladministration unter den Alternativen Zugriffspfaden für die Webanwendung eingetragen werden.

Zum zweiten muss im IIS des SharePoint WebFrontend Servers für die genutzte Webanwendung die interne Domain als default Domain in der Standartauthentifizierung hinterlegt werden.

Nun klappt der Login am SharePoint über die externe IP bzw. Domain mit dem Nutzernamen ohne Domainprefix und Passwort.