Configurando o Outlook Web Access com autenticação baseada em formulários

Publicado: novembro de 2009

Aplica-se a: Forefront Threat Management Gateway (TMG)

Para configurar o Outlook Web Access com autenticação baseada em formulários

1. Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Firewall.

2. No painel Tarefas, clique na guia Caixa de Ferramentas.

3. Na guia Caixa de Ferramentas, clique em Objetos de Rede, clique em Novo e selecione Ouvinte da Web para abrir o Assistente para Novo Ouvinte da Web.

4. Conclua o Assistente para Novo Ouvinte da Web conforme determinado na tabela a seguir.

   Página	Campo ou propriedade			Configuração ou ação
   Bem-vindo ao Assistente para Novo Ouvinte da Web	Nome do Ouvinte da Web			Digite um nome para o Ouvinte da Web. Por exemplo, digite Ouvinte Baseado nos Formulários OWA.
   Segurança da Conexão do Cliente				Selecione Exigir conexões SSL seguras com clientes.
   Endereços IP do Ouvinte da Web	Escutar as solicitações de entrada da Web nestas redes			Selecione a rede Externa. Clique em Selecionar Endereços IP e selecione Endereço IP Especificado no computador do Forefront TMG na rede selecionada. Em Endereços IP Disponíveis, selecione o endereço IP do site, clique em Adicionar e em OK. </p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Certificados SSL de Ouvinte</strong> </p> </td> <td colspan="1"> <p /> <p> </p> </td> <td colspan="2"> <p>Selecione <strong>Usar um único certificado para este ouvinte da Web</strong>, clique em <strong>Selecionar Certificado</strong> e selecione um certificado para o qual o nome do host usado pelos usuários para acessar o site publicado apareça no campo <strong>Emitido para</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Configurações de Autenticação</strong> </p> </td> <td colspan="1"> <p> <strong>Selecione como os clientes fornecerão credenciais ao Forefront TMG</strong> </p> </td> <td colspan="2"> <p>Na lista suspensa, selecione <strong>Autenticação de Formulário HTML</strong>.</p> <p>Para obter instruções sobre como usar a autenticação HTTP (a opção padrão) ou a <strong>Autenticação de Certificado de Cliente SSL</strong>, consulte <a runat="server" href="cc441538(v=technet.10).md">Configurando o acesso para clientes do Outlook Web Access</a>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Coletar credenciais de delegação adicionais no formulário</strong> </p> <p>Esta caixa de seleção é exibida apenas quando <strong>Autenticação de Formulário HTML</strong> é selecionado.</p> </td> <td colspan="2"> <p>Marque esta caixa de seleção apenas se desejar selecionar <strong>RADIUS OTP</strong> ou <strong>SecurID</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Selecione como o Forefront TMG validará as credenciais de cliente</strong> </p> </td> <td colspan="2"> <p>Selecione uma das opções disponíveis: Em uma implantação de grupo de trabalho, você pode usar apenas <strong>RADIUS</strong>, <strong>LDAP (Active Directory)</strong>, <strong>RADIUS OTP</strong> ou <strong>SecurID</strong>. </p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Configurações de logon único</strong> </p> </td> <td colspan="1"> <p> <strong>Habilitar SSO para sites publicados com este ouvinte da Web</strong> </p> </td> <td colspan="2"> <p>Se você desabilitar o logon único, será necessário clicar em <strong>Adicionar</strong> e especificar um domínio no qual o logon único será aplicado.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Concluindo o Assistente para Novo Ouvinte da Web</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Revise as configurações e clique em <strong>Concluir</strong>. Se uma caixa de mensagem for exibida, clique em <strong>Sim</strong> para habilitar a regra de diretiva de sistema Permitir todo o tráfego HTTP do Forefront TMG para todas as redes (para downloads de CRL). </p> </td> </tr> </table> No painel Tarefas, clique na guia Tarefas. Na guia Tarefas, clique em Publicar Acesso do Cliente da Web do Exchange para abrir o Assistente para Nova Regra de Publicação do Exchange. Conclua o Assistente para Nova Regra de Publicação do Exchange conforme determinado na tabela a seguir. Página Campo ou propriedade Configuração ou ação Bem-vindo ao Assistente para Nova Regra de Publicação do Exchange Nome da regra de publicação do Exchange Digite um nome para a regra de publicação do Exchange. Por exemplo, digite Baseado nos Formulários OWA. Selecionar Serviços Versão do Exchange Selecione a versão do Exchange Server em execução nos servidores Exchange. Serviços de email de cliente da Web Selecione Outlook Web Access. Tipo de Publicação Selecione Publicar um único site ou um balanceador de carga. As outras opções estão além do escopo desse procedimento. Segurança da Conexão do Servidor Selecione Usar SSL para conectar o servidor Web ou o web farm publicado. Esta opção requer a instalação, em cada servidor front-end do Exchange, de um certificado do servidor SSL em que o nome do host usado pelo Forefront TMG para entrar em contato com um servidor Exchange seja exibido no campo Emitido para. Detalhes de Publicação Interna Nome do site interno Digite o nome de host que o Forefront TMG usará nas mensagens de solicitação HTTP enviadas ao servidor publicado. Se o nome do site interno especificado nesse campo não puder ser resolvido e não for o nome do computador ou o endereço IP do servidor publicado, selecione Usar um nome ou endereço IP de computador para conectar-se ao servidor publicado e digite o nome do computador que pode ser resolvido ou o endereço IP do servidor publicado. Detalhes do Nome Público Aceitar solicitações para Selecione Este nome de domínio (digite abaixo). Nome público Digite o FQDN público ou o endereço IP que os usuários externos usarão para acessar o site do Outlook Web Access publicado. Selecionar Ouvinte da Web Ouvinte da Web Na lista suspensa, selecione o ouvinte da Web criado na Etapa 4. É possível, em seguida, clicar em Editar para modificar as propriedades do ouvinte da Web selecionado. Delegação de Autenticação Selecione o método usado pelo Forefront TMG para autenticação no servidor Web publicado Selecione Autenticação básica. Conjuntos de Usuários Esta regra aplica-se às solicitações dos seguintes conjuntos de usuários Se você estiver usando a validação de credenciais do Windows, não altere o padrão Todos os Usuários Autenticados. Se você estiver usando a validação RADIUS ou LDAP, precisará utilizar um conjunto de usuários que esteja configurado para o namespace RADIUS ou LDAP, respectivamente. Concluindo o Assistente para Nova Regra de Publicação do Exchange Revise as configurações e clique em Concluir. No painel de detalhes, clique no botão Aplicar para salvar e atualizar a configuração e, em seguida, clique em OK. Dica Na publicação em SSL, um certificado de servidor SSL emitido para o nome de host público do site publicado deverá ser instalado no repositório Pessoal do computador local no computador do Forefront TMG. Para obter mais informações sobre como obter e instalar certificados de servidor SSL, consulte Configurando certificados de servidor para publicação segura na Web. Na página Endereços IP do Ouvinte da Web do Assistente para Novo Ouvinte da Web, é possível selecionar Endereços IP padrão para adaptadores de rede nesta rede. Se o Balanceamento de Carga da Rede estiver desabilitado, essa opção selecionará automaticamente o endereço IP virtual. Caso contrário, o endereço IP padrão será selecionado automaticamente para cada adaptador de rede. Se for necessário que os usuários apresentem um certificado de cliente SSL, a regra de diretiva de sistema Permitir todo o tráfego HTTP do Forefront TMG para todas as redes (para downloads de CRL) deverá ser desabilitada. Esta regra de diretiva do sistema permite que o Forefront TMG receba as listas atualizadas de certificados revogados para validar os certificados de cliente. A autenticação baseada em formulários pode ser habilitada no computador com o Forefront TMG ou no servidor Exchange, mas não nos dois. Esse procedimento se refere à autenticação baseada em formulários no computador com o Forefront TMG, não nos servidores Exchange. Com a autenticação baseada em formulários, o usuário será direcionado a um formulário HTML. Depois que o usuário fornecer credenciais no formulário e essas credenciais forem validadas, o sistema emitirá um cookie contendo um tíquete. Nas solicitações subseqüentes, o sistema verificará primeiramente o cookie para observar se o usuário já foi autenticado e, em caso afirmativo, o usuário não terá que fornecer credenciais novamente. Se você usar a validação de credenciais RADIUS, o computador do Forefront TMG deverá ser registrado como um cliente RADIUS no servidor RADIUS, e a regra de diretiva do sistema RADIUS deverá ser desabilitada para permitir o tráfego RADIUS do computador do Forefront TMG (rede de Host Local) para a rede interna. Essa regra supõe que o servidor RADIUS esteja localizado na rede Interna. Se você selecionar a validação de credenciais RADIUS, LDAP ou RADIUS OTP, você deve editar as propriedades do Ouvinte da Web criadas para especificar os servidores RADIUS ou LDAP que serão consultados quanto à autenticação. Os usuários se conectarão ao Outlook Web Access abrindo uma URL que, em geral, tem o formato https://nome_do_host/exchange. Talvez seja preciso modificar os mapeamentos entre os caminhos especificados pelos usuários e os caminhos internos na guia Caminhos das suas propriedades de regra de publicação na Web. Com a autenticação baseada em formulários e a autenticação básica, as credenciais enviadas ao computador do Forefront TMG poderão ser delegadas ao servidor publicado. Para obter mais informações sobre outras configurações em regras de publicação na Web, consulte Planejando a publicação. Depois de concluir essa tarefa, consulte Bloqueando o acesso de clientes do Outlook Web Access a anexos. Related Topics Concepts Configurando a publicação do Outlook Web Access