Konfigurieren von Single Sign-On für Microsoft Exchange 2010
Im folgenden Abschnitt wird die Konfiguration von Single Sign-On (SSO) für Microsoft Exchange 2010 auf NetScaler Gateway beschrieben. Das SSO für Outlook Web Access (OWA) 2010 funktioniert unter den folgenden Bedingungen nicht:
- Verwenden der formularbasierten Authentifizierung auf Microsoft Exchange 2010.
- Load Balancing virtueller Server mit Authentifizierungs-, Autorisierungs- und Überwachungsverkehrsmanagement-Richtlinie.
Hinweis: Diese Konfiguration funktioniert nur für den Lastausgleich eines virtuellen Servers mit Authentifizierungs-, Autorisierungs- und Überwachungsverkehrsverwaltungsrichtlinien. Es funktioniert nicht für SSO in OWA 2010 mit clientlosem VPN.
Die folgenden Schritte sind Voraussetzungen, die Sie berücksichtigen müssen, bevor Sie SSO für Microsoft Exchange 2010 auf NetScaler Gateway konfigurieren.
- Die Aktions-URL für das SSO-Formular ist in OWA 2010 anders. Ändern Sie die Verkehrsmanagement-Richtlinie entsprechend.
- Sie benötigen eine Richtlinie zum Umschreiben, um das Cookie
PBackin der Anforderung logon.aspx zu setzen. In normalen Szenarien setzen Sie dasPBackCookie beim Client und klicken auf Senden. - Wenn Sie SSO verwenden, wird die Antwort auf logon.aspx verbraucht und das NetScaler Gateway generiert die Formularanforderung. Das Cookie ist nicht in der Anfrage zur Einreichung des Formulars angehängt.
- Der OWA-Server erwartet das Cookie
PBackin der Anfrage zur Einreichung des Formulars. Die Richtlinie zum Umschreiben ist erforderlich, um das CookiePBackin der Anfrage zur Einreichung des Formulars anzuhängen.
Führen Sie Folgendes mit der CLI aus
-
Konfigurieren Sie die Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements
add tm formSSOAction OWA_Form_SSO_SSOPro -actionURL "/owa/auth.owa" -userField username -passwdField password -ssoSuccessRule "http.RES.SET_COOKIE.COOKIE(\"cadata\").VALUE(\"cadata\").LENGTH.GT(70" -responsesize 15000 -submitMethod POST -
Konfigurieren Sie die Verkehrsverwaltungsrichtlinie und binden Sie die Richtlinie
-
add tm trafficAction OWA_2010_Prof -appTimeout 1 -SSO ON -formSSO Action OWA_Form_SSO_SSOPro -
add tm trafficPolicy owa2k10_pol "HTTP.REQ.URL.CONTAINS(\"owa/auth/logon.aspx\")" OWA_2010_Prof -
bind tm global -policyName owa2k10_pol -priority 100
-
Rewrite-Konfiguration über die CLI
Geben Sie in der Befehlszeile Folgendes ein:
-
add rewrite action set_pback_cookie insert_after "http.REQ.COOKIE.VALUE(\"OutlookSession\")" "\";PBack=0\"" -bypassSafetyCheck YES -
add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie -
bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT
Alternative Rewrite-Konfiguration
In seltenen Fällen gibt Microsoft Outlook möglicherweise keine OWA-Sitzungscookies aus und die Pback Cookies werden möglicherweise auch nicht eingefügt. Das Problem kann auftreten, nachdem Sie die vorhergehenden Befehle zur Implementierung der Rewrite-Konfiguration ausgeführt haben.
Um solche Szenarien zu überwinden und als Problemumgehung, können Sie anstelle der Umschreibkonfiguration die folgenden Befehle konfigurieren.
Geben Sie in der Befehlszeile Folgendes ein:
-
add rewrite action set_pback_cookie insert_http_header "Cookie" '"PBack=0"' -
add rewrite policy set_pback_cookie "http.REQ.URL.CONTAINS(\"logon.aspx\")" set_pback_cookie -
set rewrite policy set_pback_cookie -action set_pback_cookie -
bind rewrite global set_pback_cookie 100 END -type REQ_DEFAULT