Proxy web aplikacije na Windows Server 2012 R2

Nastavljamo upoznavati se s novim značajkama sustava Windows Server 2012 R2. Ranije smo razgovarali o DropBox korporacijskom kolegi u sustavu Windows Server 2012 R2 pod nazivom Work Folders. Danas ćemo govoriti o još jednoj inovaciji nove poslužiteljske platforme - funkcijama Proxy web aplikacije. Proxy web aplikacije nova je značajka uloga Udaljeni pristup u sustavu Windows 2012 R2 koji omogućuje objavljivanje HTTP / HTTPS aplikacija smještenih na obodu korporativne mreže na klijentskim uređajima (prije svega mobilnim uređajima) izvan njegovog perimetra. Zbog mogućnosti integracije s AD FS (usluga može djelovati kao ADFS proxy) moguće je pružiti autentifikaciju vanjskih korisnika koji pokušavaju pristupiti objavljenim aplikacijama.

Proxy web aplikacije pruža iste mogućnosti objavljivanja aplikacija kao Forefront Unified Access Gateway (UAG), ali ova usluga također vam omogućuje interakciju s drugim poslužiteljima i uslugama, pružajući tako fleksibilniju i strujniju konfiguraciju..

Proxy web aplikacije u osnovi obavlja tu funkciju preokrenuti obrnuti proxy, organiziranje releja zahtjeva klijenta iz vanjske mreže na unutarnji poslužitelj i vatrozid je na razini aplikacije.

Poslužitelj s proxy uslugom Web Application prima vanjski HTTP / HTTPS promet i ukida ga, nakon čega u njegovo ime pokreće novu vezu s internom aplikacijom (web poslužiteljem). tj vanjski korisnici zapravo ne dobivaju izravan pristup internoj aplikaciji. Odbacuje se svaki drugi promet primljen od proxyja web aplikacije (uključujući HTTP / HTTPS zahtjeve koji se mogu koristiti u DoS, SSL i napadima od 0 dana).

Zahtjevi organizacije i ključne značajke za web-proxy proxy:

  • Sustav se može implementirati na poslužiteljima sa sustavom Windows Server 2012 R2 koji su uključeni u domenu Active Directory s ulogama AD FS i probne aplikacije Web Application. Te se uloge moraju instalirati na različite poslužitelje..
  • Morate nadograditi shemu Active Directory na Windows Server 2012 R2 (ne trebate nadograditi kontrolere domena na Windows Server 2012 R2)
  • Kao klijentski uređaji podržani su uređaji s Windows OS-om, IOS (iPad i iPhone). Rad na klijentima za Android i Windows Phone još nije završen
  • Autentifikaciju klijenta provode Active Directory Federation Services (ADFS), koja također djeluje kao ADFS proxy..
  • Tipičan izgled poslužitelja s ulogom proxyja web aplikacije prikazan je na slici. Ovaj se poslužitelj nalazi u posebnoj zoni DMZ-a i vatrozidima je odvojen od vanjske (Internet) i interne mreže (Intranet). U ovoj konfiguraciji proxy web aplikacije za rad trebaju dva sučelja - unutarnje (Intranet) i vanjsko (DMZ)

Instalirajte ADFS ulogu na Windows Server 2012 R2

Da bi se osigurala dodatna sigurnost, prethodna provjera autentičnosti vanjskih klijenata vrši se na ADFS poslužitelju, u protivnom provjera autentičnosti koristi se na odredišnom poslužitelju aplikacije (što je manje sigurno). Stoga je prvi korak u konfiguriranju proxyja web aplikacije instalacija uloge na zasebnom poslužitelju Usluge federacije aktivnog direktorija.

Kad instalirate ADFS, morate odabrati SSL certifikat koji će se koristiti za šifriranje, kao i DNS imena koja će klijenti koristiti prilikom povezivanja (sami ćete morati kreirati odgovarajuće unose u DNS zoni).

Zatim morate odrediti račun usluge za ADFS uslugu. Imajte na umu da naziv ADFS mora biti naveden u atributu glavnog glavnog računa usluge. To možete učiniti pomoću naredbe:

setspn -F -S host / adfs.winitpro.ru adfssvc

I na kraju, odredite bazu podataka u kojoj će se informacije pohraniti: to može biti ugrađena baza podataka na istom poslužitelju (WID - Windows Internal Database) ili zasebna baza podataka na namjenskom SQL poslužitelju.

Instalirajte servis proxyja web aplikacije

Sljedeći je korak sama konfiguriranje usluge proxy za web aplikaciju. Podsjetimo da je usluga web aplikacije proxy u sustavu Windows Server 2012 R2 dio „Udaljeni pristup”. Instalirajte uslugu Proxy web aplikacije i pokrenite čarobnjaka za postavljanje.

U prvoj fazi čarobnjak će vam ponuditi da odredite naziv ADFS poslužitelja i parametre računa koji ima pristup ovoj usluzi..

Zatim trebate navesti certifikat (provjerite da alternativna imena certifikata sadrže naziv ADFS poslužitelja).

vijeće. Provjerite jesu li vaše DNS zone ispravno konfigurirane: poslužitelj s WAP ulogom mora biti u mogućnosti riješiti ime ADFS poslužitelja, a on zauzvrat može razriješiti ime proxy poslužitelja. Potvrde na oba poslužitelja moraju sadržavati naziv usluge federacije.

Objavite aplikaciju putem proxyja za web aplikaciju

Nakon što su instalirane uloge ADFS-a i probnog protokola web aplikacije (koja također radi kao ADFS proxy), možete preći izravno na objavljivanje izvan određene aplikacije. To možete učiniti pomoću R konzole.emote pristupna konzola za upravljanje.

Pokrenite čarobnjaka za objavljivanje i odredite želite li koristiti ADFS za prethodnu provjeru identiteta (ovo je naša opcija).

Tada trebate postaviti naziv objavljene aplikacije, upotrijebljeni certifikat, vanjski URL (služit će ga vanjski korisnici za povezivanje) i interni URL poslužitelja na koji će se zahtjevi poslati.

vijeće. Ako želite preusmjeriti vanjsku aplikaciju na neki drugi ulaz, morate je navesti u URL-u koji upućuje na unutarnji poslužitelj. Na primjer, ako želite preusmjeriti vanjske https zahtjeve (priključak 443) na port 4443, morate navesti:

URL poslužitelja pomoćnog prostora: lync.winitpro.local: 4443

Ispunite čarobnjaka i ovo je kraj objave aplikacija. Sada, ako pokušate pristupiti objavljenom vanjskom URL-u pomoću preglednika, preglednik će se prvo preusmjeriti na uslugu provjere autentičnosti (ADFS Proxy), a nakon uspješne provjere autentičnosti korisnik će biti poslan izravno na internu web stranicu (web aplikacija).

Zahvaljujući novoj usluzi proxy web aplikacije u sustavu Windows Server 2012 R2, moguće je implementirati funkcionalnost obrnutog proxy poslužitelja radi objavljivanja unutarnjih usluga poduzeća bez potrebe za korištenjem vatrozida i proizvoda drugih proizvođača, uključujući primjerice Forefront itd..