Recently I had the construction of a small exchange organization inklusive der Einrichtung der Sophos UTM 9.4 für die Veröffentlichung der Exchange Webservices beschrieben. In den Kommentaren zu den Beiträgen wurde nach der Möglichkeit gefragt die Authentifizierung direkt an der UTM durchzuführen und nicht erst am Exchange Server. Microsoft Forefront TMG hatte diese Funktion ebenfalls. Das Feature bei der Sophos UTM dazu nennt sich „Reverse Authentication (in der deutschen Version: Umkehrauthentifizierung) “ und kann ebenfalls in Verbindung mit Exchange genutzt werden:
Changeover Exchange 2016 for Basic Authentication
Damit die Reverse Authentication der Sophos UTM funktioniert, muss die Authentifizierungsmethode für OWA und ECP auf „Basic- Auth (Standardauthentifizierung)“ umgestellt werden. Die Art der Authentifizierung lässt sich über das EAC einstellen:
The same applies to /ECP:
After the authentication for both virtual directories has been changed, the IIS must be restarted (iisreset):
Continue with the UTM
Configuration Sophos UTM for Reverse Authentication
The prerequisite for reverse authentication is a set up and functioning web server protection (WAF). I have already described how to set this up for Exchange 2016 here:
The configuration from the above article can now be used and extended to include the Reverse Authentication feature.
Damit Exchange-Benutzer erfolgreich an der UTM authentifiziert werden können, muss ein Authentication Server vom Typ „Ldap“ angelegt werden:
Note: Der Backend Typ muss hier „LDAP“ sein, beim Backend Typ „Active Directory (adirectory)“, funktioniert die Anmeldung an OWA nicht und es poppt immer wieder ein Anmeldefenster auf. Es können an der UTM allerdings beide Typen konfiguriert sein, sowohl Active Directory und auch LDAP.
Auch wenn der Backend Typ „LDAP“ ist, wird ein Domain Controller, oder ein Domain Controller Pool, als Server definiert. Für die Abfrage wird ein normaler Domain Benutzer und dessen Distinguished Name (BindDN) benötigt:
The fastest way to display the Distinguished Name is via Powershell:
Get-ADUser SophosUTM | fl name,DistinguishedName
Das Feld „User attribute“ wird auf „>“ umgestellt und im Feld „Custom“ der Wert „userPrincipalname“ eingestellt. Ein Test sollte dann erfolgreich sein:
Configuration Sophos UTM WAF for Reverse Authentication
To perform authentication on the Sophos UTM, an authentication profile must be created:
Die relevanten Einstellungen können dem Screenshot entnommen werden. Als Logout URL wird der folgende Wert benutzt „/owa/logoff.owa“.
In order for the Authentication Profile to be applied, two Site Path Routes must now be created, one for OWA and one for ECP:
As soon as the two Site Path Routes have been created, the Exchange form for entering the user name and password no longer appears when OWA is called up, but the UTM form instead:
In this case, the user name must be entered as the UPN:
The configuration of a suffix in the Authentication Profile does not seem to work.