32.5 ISAPI Webgate用のISAサーバーの構成

次の項では、ISAサーバーをAccess Manager ISAPI Webgateと連動するように構成する方法について説明します。

タスクの概要: ISAサーバー用のWebgate構成の実行:

1. 「Access ManagerプラグインのISAサーバーWebフィルタとしての登録」
2. 「ISA WebフィルタのISAファイアウォール・ポリシーの構成」

32.5.1 Access ManagerプラグインのISAサーバーWebフィルタとしての登録

ISAPI Webgate権限をリセットしたら、Access Managerのwebgate.dllおよびpostgate.dllプラグインをISAサーバー内にWebフィルタとして登録する必要があります。Webフィルタは、ISAサーバーのホストを通過するHTTPトラフィックをすべて検査します。条件に適合するリクエストのみが、通過を許可されます。

Access Manager認証スキームでは、ユーザーへの資格証明のチャレンジ方法、ユーザーが入力した情報のマッピングや検証方法などを定義します。ISAサーバーでは、チャレンジ方法としてフォーム認証または基本認証のどちらかを選択する必要があります。ユーザーが入力した資格証明を、ディレクトリ・サーバーに格納されている対応するユーザー・プロファイルにマッピングするためにチャレンジ・パラメータも指定する必要があります。

ノート:

Access ManagerライブラリがISA Webフィルタとして登録されていないと、Access Manager認証が失敗する可能性があります。認証スキームのフォームベースのログイン用アクション・パスでwebgate.dllを指定しないでください。かわりに、/accessディレクトリ内のダミー・ファイルへのパスを次のように指定する必要があります。

action= "/access/dummy"

フォームベースの認証の場合、postgate.dllをインストールし、webgate.dllよりも上位に置く必要があります。

次の手順では、Access ManagerプラグインをISAサーバーに登録する方法を説明します。

ノート:

フィルタ登録を元に戻す必要がある場合、次の手順を使用し、regsvr32コマンドに/uオプションを指定します。たとえば、regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dllのようになります。

Access ManagerプラグインをISAサーバーWebフィルタとして登録するには、次のようにします。

1. ISAサーバーのインストール・ディレクトリを探し、そこから次のタスクを実行します。
2. net stop fwsrvを実行し、ISAサーバーを停止します。
3. regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dllを実行し、webgate.dllをISAPI Webフィルタとして登録します。
4. regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\postgate.dllを実行し、postgate.dllをISAPI Webフィルタとして登録します。
5. net start fwsrvを実行し、ISAサーバーを再起動します。
6. 「ISA WebフィルタのISAファイアウォール・ポリシーの構成」に進みます。

32.5.2 ISA WebフィルタのISAファイアウォール・ポリシーの構成

ユーザーを認証するには、ISAサーバーが認証サーバーと通信可能である必要があります。Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして登録した後、これらのWebフィルタを使用するリソースを保護するようにISAファイアウォール・ポリシー・ルールを構成する必要があります。

Web公開ルールでは、基本的に受信リクエストが適切なWebサーバーにマッピングされます。アクセス・ルールでは、送信元ネットワーク上のクライアントが宛先ネットワーク上のリソースにアクセスする方法を決定します。ISAファイアウォール・ポリシー・ルールでは、ユーザー・セットのクライアント・メンバーシップ(ファイアウォール・クライアント、認証済Webクライアント、仮想プライベート・ネットワーク(VPN)クライアントのいずれか)が必要になります。ISAサーバーは、ISAファイアウォール・ポリシー・ルールに基づいて認証済ユーザーの照合を試みます。

関連項目:

ISAサーバーのドキュメントの、ISAファイアウォール・ポリシーおよびルールの詳細

次の手順では、Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして使用するためにISAファイアウォール・ポリシー・ルールを構成する方法について説明します。

ノート:

次の手順を実行した後、認証のリスナーを作成する場合は、「Advanced Properties」の「Allow client authentication over HTTP」を選択します。

Access Managerの認証および認可を有効にするためのISAポリシーを構成するには:

1. 「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。

2. 「ISA Server Management」コンソールのツリーでこのサーバーの名前を探し、「Firewall Policy」をクリックします。

3. 「Tasks」タブで「Publish Web Sites」をクリックします。

4. 「Web publishing rule name」フィールドにわかりやすいルール名を入力し、「Next」をクリックします。

5. 「Select Rule Action」ページで、「Allow」オプションが選択されていることを確認し、「Next」をクリックします。

6. 「Publishing type」で、「Publish a single Web site or load balancer」オプションが選択されていることを確認し、「Next」をクリックします。

7. 「Server Connection Security」ページで、「Use non-secured connections to connect the published Web server or server farm」をクリックし、「Next」をクリックします。

   ノート:

   セキュアな接続を使用している場合、ISAサーバーで提供されるサーバー接続セキュリティ設定を参照してください。

8. 内部公開の詳細を設定するには、次のステップを実行します。

   1. 「Internal site name」ボックスに、Webサーバーの内部的にアクセス可能な名前を入力します。

   2. 「Use a computer name or IP address to connect to the published server」チェック・ボックスを選択します。

   3. 「Computer name or IP address」ボックスに、Webサーバー・コンピュータの内部的にアクセス可能な完全修飾ドメイン名か、IPアドレスを入力します。

   4. 「Next」をクリックします。

9. 「Public name」ボックスで、パブリックにアクセス可能なWebサーバー・コンピュータのドメイン名を入力し、「Next」をクリックします。

10. Webサイトに特定のフォルダを公開するには:

    1. 公開されたWebサイトのフルパスを「Web site」ボックスに表示するには、「Path (optional)」ボックスにフォルダ名を入力します。

    2. 「Next」をクリックします。

11. 「Accept requests for」リストで、次の操作を実行します。

    1. 「This domain name (type below)」をクリックします。

    2. 「Public name」ボックスに、Webサイトのパブリックにアクセス可能な完全修飾ドメイン名を入力します。

    3. 「Next」をクリックします。

12. 「Web listener」リストで、このWeb公開ルールに使用する「Web listener」をクリックするか、新しいWebリスナーを次のように作成します。

    1. 「New」をクリックし、新しいWebリスナーのわかりやすいルール名を入力して、「Next」をクリックします。

    2. 「Do not require SSL secured connections with clients」をクリックし、「Next」をクリックします。

    3. 「Listen for requests from these networks」リストで、必要なネットワークを選択し、「External」ボックスを選択し、「Next」をクリックします。

    4. 「Select how clients will provide credentials to ISA Server」リストで、「No Authentication」をクリックし、「Next」をクリックします。

    5. 「Single Sign On Settings」ページで、「Next」をクリックし、「Finish」をクリックします。

13. Authentication Delegation: 「Select the method used by ISA Server to authenticate to the published Web server」リストで次のステップを実行します。

    1. 「No Delegation」をクリックします。

    2. 「Client Cannot Authenticate Directly」をクリックします。

    3. 「Next」をクリックします。

       これは、ISAサーバーによって、公開されたWebサーバーへの認証に使用されます。

14. 「User Sets」ページで、次の手順を実行します。

    1. 「User Sets」ボックスから「All」(デフォルトのユーザー設定)を選択し、リクエストに適用するルールを設定します。

    2. 「次へ」をクリックし、「終了」をクリックします。

15. 「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。

16. 該当するポートのみが開き、通過させるトラフィックが許可されていることを確認します。

32.5.3 ISAPIフィルタの並替え

Webgate ISAPIフィルタが正しい順序で組み込まれるように確認することが重要です。postgate.dllはwebgate.dllより前にロードする必要があります。

ISAサーバーのためにWebgate ISAPIフィルタを並べ替えるには:

1. 「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。
2. 「Configuration」を開き、「Add-ins」を選択してWebフィルタを表示します。
3. 「Web-filters」を右クリックし、「Properties」を選択します。
4. 次の.dllファイルが表示されることを確認します。

   次に例を示します。

   • postgate.dll
   • webgate.dll
5. 表示されていないフィルタを追加し、必要であれば、フィルタ名を選択して上下の矢印を使用し、ステップ5の表示のようにフィルタの順序を変更します。

   警告:

   webgate.dllフィルタとpostgate.dllフィルタがそれぞれ1つのみあること、また有効な状態であることを確認します。さらに、postgate.dllがwebgate.dllより高い優先度でインストールされていることを確認します。