In Zeiten wo das Microsoft Forefront Threat Management Gateway als Auslaufmodell betrachtet wird und die Preise für ein Microsoft Unified Access Gateway gegen eine SharePointveröffentlichung über dieses sprechen, ist es wichtig sich nach anderen Anbietern um zusehen. Mit der Beta 9.2 des Sophos UTM ist ein kleiner Schritt in die richtige Richtung unternommen wurden.
1. Vorraussetzungen
- Funktionierende SharePoint Farm inklusive mindestens einer Webanwendung mit Sitecollection
- Authentication Provider für Webanwendung steht auf NTLM und Basisauthentifizierung ist angehakt
- Active Directory inkl. interner Domain
- SharePoint Server ist teil der Domain
- Installiertes und konfiguriertes Sophos UTM 9.2 mit mindestens zwei Netzkarten für das Domain-Netzwerk (bei mir 192.168.8….) und den externen Zugriff (bei mir 192.168.1….)
- Eingerichteter Authentifizierungsserver im UTM inkl. SSO
2. Durchführung im Sophos UTM Webinterface
Als erstes erstellt man unter dem Punkt „Webserver Protection“ –> „Web Application Firewall“ –> Registerkarte „Echte Webserver“ einen neuen echten Webserver.
Dabei ist zu beachten, dass unter Host der SharePoint Server angelegt und eingetragen wird . Auch sollte man angeben über welche Schnittstelle der Host erreichbar ist. In unserem Fall ist das die interne (das Domain-Netzwerk).
Im zweiten Schritt legt man unter „Webserver Protection“ –> „Umkehrauthentifizierung“ –> Registerkarte „Profile“ ein neues Authentifizierungsprofil an.
Dabei ist zu beachten, dass unter Frontend-Bereich die externe IP bzw. die externe URL angegeben wird. Auch sollten unter Benutzer/Gruppen die Active Directory Users stehen, damit gegen das AD authentifiziert werden kann.
Im dritten Schritt richtet man nun unter „Webserver Protection“ –> „Web Application Firewall“ –> Registerkarte „Virtuelle Webserver“ einen neuen virtuellen Webserver.
Dabei werden die externe IP bzw. Domain angegeben und der echte Webserver zugeordnet. Außerdem sollte man bei den Firewall-Profil aufpassen und eventuell ein neues Anlegen, da die Standardprofile von Sophos UTM mit SharePoint Probleme machen.
Im letzen Schritt ordnet man unter „Webserver Protection“ –> „Web Application Firewall“ –> Registerkarte „Site-Path-Routing“ das erstellte Umkehrauthentifizierungsprofil zu.
Nun wird beim Aufruf der externen IP bzw. Domain das Loginformular des Sophos UTM angezeigt.
Damit nun auch noch der Login am SharePoint klappt müssen noch zwei weitere Schritte durchgeführt werden.
Zu ersten muss die externe Domain bzw. IP in der SharePoint Zentraladministration unter den Alternativen Zugriffspfaden für die Webanwendung eingetragen werden.
Zum zweiten muss im IIS des SharePoint WebFrontend Servers für die genutzte Webanwendung die interne Domain als default Domain in der Standartauthentifizierung hinterlegt werden.
Nun klappt der Login am SharePoint über die externe IP bzw. Domain mit dem Nutzernamen ohne Domainprefix und Passwort.
Vielen Dank für die Erklärung,
habe gerade auf 9.2 gewechselt und versuche mich am Thema OWA mit umkehrauthentifizierung.
Alles noch mit etwas Fallstricken verbunden, aber das wird und dank der Tips bin ich schon etwas weiter…
Danke für diese Tips. Hat jemand schon mal probiert ob auch Kennwortänderungen über die FBA der Sophos möglich sind (User meldet sich mit abgelaufenem Kennwort an)?