Compartir a través de

Configurar Outlook Web Access con autenticación basada en formularios

  • Artículo

Publicada: noviembre de 2009

Se aplica a: Forefront Threat Management Gateway (TMG)

Para configurar Outlook Web Access con autenticación basada en formularios

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.

  2. En el panel Tareas, haga clic en la ficha Herramientas.

  3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.

  4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.

    Página Campo o propiedad Valor o acción

    Bienvenido al Asistente para nueva escucha de web

    Nombre de la escucha de web

    Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha basada en formularios OWA.

    Seguridad de conexión de cliente

    Seleccione Requerir conexiones seguras SSL con los clientes.

    Direcciones IP de escuchas de web

    Escuchar solicitudes web entrantes en estas redes

    Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Certificados SSL de escucha</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
          <p>

          </p>
        </td>
        <td colspan="2">
          <p>Seleccione <strong>Usar un único certificado para esta escucha de web</strong>, haga clic en <strong>Seleccionar certificado</strong> y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo <strong>Emitido a</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Valores de autenticación</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.</strong>
          </p>
        </td>
        <td colspan="2">
          <p>En la lista desplegable, seleccione <strong>Autenticación de formularios HTML</strong>.</p>
          <p>Para obtener instrucciones acerca de cómo utilizar la autenticación de HTTP (la opción predeterminada) o <strong>Autenticación de certificados SSL de cliente</strong>, vea <a runat="server" href="cc441538(v=technet.10).md">Configurar acceso para clientes de Outlook Web Access</a>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Recopile otras credenciales de delegación en el formulario.</strong>
          </p>
          <p>Esta casilla de verificación aparece sólo si se ha seleccionado <strong>Autenticación de formularios HTML</strong>.</p>
        </td>
        <td colspan="2">
          <p>Active esta casilla solo si piensa seleccionar <strong>OTP de RADIUS</strong> o <strong>SecurID</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Seleccione la forma en que Forefront TMG validará las credenciales del cliente.</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Seleccione una de las opciones disponibles. Si se trata de una implementación de grupo de trabajo, solo puede utilizar <strong>RADIUS</strong>, <strong>LDAP (Active Directory)</strong>, <strong>RADIUS OTP</strong> o <strong>SecurID</strong>. </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Configuración de inicio de sesión único</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Habilitar SSO para sitios web publicados con esta escucha</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Si habilita el inicio de sesión único (SSO), deberá hacer clic en <strong>Agregar</strong> y, a continuación, especificar un dominio dentro del cual se aplicará el inicio de sesión único.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Finalización del Asistente para nueva escucha de web</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Revise la configuración y haga clic en <strong>Finalizar</strong>. Si aparece un cuadro de mensaje, haga clic en <strong>Sí</strong> para habilitar la regla de directiva de sistema Permitir todo el tráfico HTTP desde el servidor Forefront TMG hacia todas las redes (para las descargas de CRL).  </p>
        </td>
      </tr>
    </table>

  5. En el panel Tareas, haga clic en la ficha Tareas.

  6. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicación de Exchange.

  7. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de Exchange.

    Página Campo o propiedad Valor o acción

    Bienvenido al Asistente para nueva regla de publicación de Exchange

    Nombre de la regla de publicación de Exchange

    Escriba un nombre para la regla de publicación de Exchange. Por ejemplo, escriba Basado en formularios OWA.

    Seleccionar Servicios

    Versión de Exchange

    Seleccione la versión de Exchange Server que está en ejecución en sus servidores Exchange.

    Servicios de correo de cliente de web

    Seleccione Outlook Web Access.

    Tipo de publicación

    Seleccione Publicar un único sitio web o equilibrio de carga. Las otras opciones no entran en el ámbito de este procedimiento.

    Seguridad de conexión de servidor

    Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere instalar en cada servidor front-end Exchange un certificado de servidor SSL en el que el nombre de host que Forefront TMG use para ponerse en contacto con un servidor Exchange aparezca en el campo Emitido a.

    Detalles internos de publicación

    Nombre interno del sitio

    Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.

    Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.

    Detalles del nombre público

    Aceptar solicitudes para

    Seleccione Este nombre de dominio (escríbalo a continuación).

    Nombre público

    Escriba el FQDN o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de Outlook Web Access.

    Seleccionar escucha de web

    Escucha de web

    Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.

    Delegación de autenticación

    Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.

    Seleccione Autenticación básica.

    Conjuntos de usuarios

    Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios

    Si utiliza validación con credenciales de Windows, no cambie la opción predeterminada (Todos los usuarios autenticados). Si utiliza validación RADIUS o LDAP, deberá utilizar un conjunto de usuarios configurado para el espacio de nombres RADIUS o LDAP, respectivamente.

    Finalización del Asistente para nueva regla de publicación de Exchange

    Revise la configuración y haga clic en Finalizar.

  8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.

    9. Nota

    • Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local del equipo de Forefront TMG un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.

    • En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.

    • Si desea que los usuarios presenten un certificado de cliente SSL, habilite la regla de directiva de sistema Permitir todo el tráfico HTTP desde Forefront TMG hacia todas las redes (para las descargas de CRL). Esta regla de directiva de sistema permite a Forefront TMG recibir actualizaciones sobre las listas de revocación de certificados para validar los certificados del cliente.

    • La autenticación basada en formularios se puede habilitar en el equipo de Forefront TMG o en el servidor Exchange, pero no en ambos. Este procedimiento hace referencia a la autenticación basada en formularios en el equipo de Forefront TMG, no en los servidores Exchange.

    • En la autenticación basada en formularios, se desvía el usuario a un formulario HTML. Una vez que el usuario ha proporcionado sus credenciales en el formulario y se han validado dichas credenciales, el sistema emite una cookie que contiene un vale. En las posteriores solicitudes, el sistema primero comprueba la cookie para ver si el usuario ya estaba autenticado y, si es así, el usuario no tendrá que volver a escribir las credenciales.

    • Si usa la validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS y la regla de directiva de sistema RADIUS deberá estar habilitada para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.

    • Si selecciona validación con credenciales RADIUS, LDAP o RADIUS OTP, deberá modificar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.

    • Los usuarios se conectan con Outlook Web Access abriendo una dirección URL que suele tener el formato https://nombre_host/exchange. Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su regla de publicación de web.

    • En la autenticación basada en formularios y la autenticación básica, las credenciales enviadas al equipo de Forefront TMG se pueden delegar al servidor publicado.

    • Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.

    • Después de completar esta tarea, vea Impedir que los datos adjuntos alcancen clientes Outlook Web Access.

    Temas relacionados

    Conceptos

    Configurar la publicación de Outlook Web Access