Vor kurzen hatte ich den Aufbau einer kleinen Exchange Organisation inklusive der Einrichtung der Sophos UTM 9.4 für die Veröffentlichung der Exchange Webservices beschrieben. In den Kommentaren zu den Beiträgen wurde nach der Möglichkeit gefragt die Authentifizierung direkt an der UTM durchzuführen und nicht erst am Exchange Server. Microsoft Forefront TMG hatte diese Funktion ebenfalls. Das Feature bei der Sophos UTM dazu nennt sich „Reverse Authentication (in der deutschen Version: Umkehrauthentifizierung) “ und kann ebenfalls in Verbindung mit Exchange genutzt werden:
Umstellung Exchange 2016 für Basic Authentication
Damit die Reverse Authentication der Sophos UTM funktioniert, muss die Authentifizierungsmethode für OWA und ECP auf „Basic- Auth (Standardauthentifizierung)“ umgestellt werden. Die Art der Authentifizierung lässt sich über das EAC einstellen:
Gleiches gilt auch für /ECP:
Nachdem die Authentifizierung für beide Virtuellen Verzeichnisse umgestellt wurde, muss noch der IIS neugestartet werden (iisreset):
Weiter geht es mit der UTM
Konfiguration Sophos UTM für Reverse Authentication
Voraussetzung für die Reverse Authentication ist eine eingerichtete und funktionierende Webserver Protection (WAF). Wie die Einrichtung für Exchange 2016 funktioniert habe ich hier bereits beschrieben:
Die Konfiguration aus dem oben genannten Artikel kann nun verwendet werden und um das Feature Reverse Authentication erweitert werden.
Damit Exchange-Benutzer erfolgreich an der UTM authentifiziert werden können, muss ein Authentication Server vom Typ „Ldap“ angelegt werden:
Hinweis: Der Backend Typ muss hier „LDAP“ sein, beim Backend Typ „Active Directory (adirectory)“, funktioniert die Anmeldung an OWA nicht und es poppt immer wieder ein Anmeldefenster auf. Es können an der UTM allerdings beide Typen konfiguriert sein, sowohl Active Directory und auch LDAP.
Auch wenn der Backend Typ „LDAP“ ist, wird ein Domain Controller, oder ein Domain Controller Pool, als Server definiert. Für die Abfrage wird ein normaler Domain Benutzer und dessen Distinguished Name (BindDN) benötigt:
Der Distinguished Name lässt sich am schnellsten per Powershell anzeigen:
Get-ADUser SophosUTM | fl name,DistinguishedName
Das Feld „User attribute“ wird auf „>“ umgestellt und im Feld „Custom“ der Wert „userPrincipalname“ eingestellt. Ein Test sollte dann erfolgreich sein:
Konfiguration Sophos UTM WAF für Reverse Authentication
Um die Authentifizierung an der Sophos UTM durchzuführen, muss ein Authentication Profile angelegt werden:
Die relevanten Einstellungen können dem Screenshot entnommen werden. Als Logout URL wird der folgende Wert benutzt „/owa/logoff.owa“.
Damit das Authentication Profile angewendet wird, müssen jetzt noch zwei Site Path Routes erstellt werden, eine für OWA und eine für ECP:
Sobald die beiden Site Path Routes erstellt wurden, erscheint beim Aufruf von OWA nicht mehr das Exchange Formular für die Eingabe von Benutzernamen und Kennwort, sondern das UTM Formular:
Der Benutzername muss in diesem Fall als UPN angegeben werden:
Die Konfiguration eines Suffix im Authentication Profile scheint nicht zu funktionieren.