Contexte :
DOMAINE A
1 serveur DC 2003
1 serveur OWA 2003 (serveur membre)
1 serveur ISA 2006 (serveur membre)
DOMAINE B
1 serveur IAS – Radius DC 2003 (domaine test)
Pour résumer le plus rapidement et simplement possible, je souhaite positionner le serveur ISA en frontal pour que ce dernier gère les authentifications sur l’OWA.
Lors de l’accès à la ressource ISA, j’obtiens une authentification sur RADIUS qui est validé, une fois cette authentification réussie, le serveur ISA devrait envoyer l’autorisation de connexions (en étant délégué sur le domaine pour le faire) au serveur OWA. Le but s’est évidemment de ne pas avoir à saisir le mot de passe AD (juste le mot de passe RADIUS).
Problème :
La partie RADIUS se passe donc sans problème. Toutefois la partie authentification pose souci. J’ai publié un accès client Web pour Exchange et suivi les instructions.
Dans l’onglet « Délégation de l’authentification » de cette publication, si je positionne « Pas de délégation, le client peut s’authentifier directement », tout se passe bien je reçois le « prompt » user mot de passe AD. Si par contre je sélectionne « Délégation Kerberos contrainte », j’obtiens une page d’erreur.
C’est bien cette dernière option que je souhaite.
Lors du choix de cette délégation, un SPN est affiché par ISA (http/serveurISA/exchange).
Je me positionne sur le serveur DC du domaine A, et à l’aide de la commande setspn j’enregistre cette entrée :
Setspn –A http/serveurISA/exchange SERVEUR-ISA
La forêt est bien en mode natif 2003, comme les pré-requis l’exige. Je vais donc sur l’objet serveur (ISA) du domaine maquette et dans l’onglet Délégation je rajoute la délégation pour le SPN enregistré.
Avant d’avoir enregistré le SPN, j’avais l’erreur suivante :
ISA Server n’a pas pu déléguer d’informations d’identification au site web publié par la règle XXX à l’aide de la délégation Kerberos contrainte. Vérifiez que le SPN : http/serveurISA/exchange configurés dans ISA correspond à ceux d’AD.
Je n’ai plus d’erreur particulière dans les logs que ce soit sur le serveur ISA, le DC, ou l’OWA.
Pourtant j’obtiens au moment de l’authentification le message d’erreur suivant (sur la page Web) :
Code d'erreur : 403 Interdit. Le serveur a refusé l'URL (Uniform Resource Locator) spécifiée. Contactez l'administrateur du serveur. (12202)
J’ai fais une capture réseau au moment de l’échange (sur le serveur OWA) :
ISA -> OWA TCP ssslic-mgr > http [SYN]
OWA -> ISA TCP http > ssslic-mgr [SYN, ACK]
ISA -> OWA TCP ssslic-mgr > http [ACK]
ISA -> OWA TCP ssslic-mgr > http [FIN, ACK]
OWA -> ISA TCP http > ssslic-mgr [ACK]
OWA -> ISA TCP http > ssslic-mgr [RST, ACK]
J’avoue que je sèche, alors si quelqu’un à une petite idée je suis preneur
++
