Windows Server 2016: Novinky ve Web Application Proxy

Čím dál častěji se Web Application Proxy (WAP) stává běžnou součástí infrastruktury. Z části je důvodem hledání náhrady Forefront TMG ve scénáři reverse, z části je to dané častějším využíváním ADFS v různých hybridních scénářích.

WAP můžeme umístit do perimetru, kde jako reverzní proxy plní následující bezpečnostní funkce:

· SSL bridging

· Ochrana proti DOS útoků

· Pre-autentizace

V tomto článku ale nebudeme podrobně popisovat funkce a scénáře nasazení WAP, ale místo toho se podíváme na novinky WAP v nově vydaném Windows Serveru 2016.

Přesměrovávání z HTTP na HTTPS

Uživatelé často zapomínají při přístupu k zabezpečené aplikaci uvádět úvodní HTTPS. Proto WAP nově podporuje přesměrovávání z HTTP na HTTPS. Například při přístupu na Exchange Outlook on the Web uživatel může zadat pouze http://mail.kpcs.cz/owa a WAP ho přesměruje na správný přístup na adrese https://mail.kpcs.cz/owa.

Obrázek 1 Přesměrovávání z HTTP na HTTPS

Preautentizace pro HTTP Basic publikované aplikace

HTTP Basic je autorizační protokol, který je použit v řadě běžných komunikací např. mezi mobilním telefonem s podporou ActiveSync a Exchange serverem. WAP obvykle spolupracuje s ADFS používáním funkce http redirect, což ale mobilní zařízení s ActiveSync obvykle nepodporují. WAP ve Windows Serveru 2016 ale nově podporuje publikování aplikace pomocí HTTP basic tím, že umožní aplikaci přijmout non-claims relying party trust v rámci ADFS. Dále je možné omezit přístup na zařízení, která jsou zaregistrovaná do Active Directory tzv. WorkPlace Join.

 

Obrázek 2 Publikace HTTP Basic

Publikace aplikací s použitím wildcard

Pro usnadnění publikování aplikací jako je SharePoint je nově možné použít v definici External URL hvězdičku, a tak jedním pravidlem vypublikovat hned několik příbuzných aplikací se stejnm nastavením publikace v rámci specifické domény. Např. https://*.sp2016-apps.kpcs.cz

Vylepšená správcovská konzola

Ano, hurá – správcovská konzola například konečně podporuje editaci existujícího pravidla. V předchozí verzi bylo nutné při jakékoliv změně v GUI provést odebrání celého pravidla a znovu ho nastavit.

 

Obrázek 3 Vylepšená správcovská konzola

Další drobná vylepšení:

· Publikování HTTP – je možné vypublikovat i http aplikaci s pomocí pass-through preautentizace.

· Podpora scénáře s publikováním Remote Desktop Gateway (RDG) pomocí WAP.

· Propagování skutečné IP adresy klienta až k samotné aplikaci

· Nové logování služby WAP, které umožňuje kompletní auditing a jednoduší diagnostiku chybových stavů

Miroslav Knotek, KPCS CZ, knotek@kpcs.cz

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.