[TMG] Outlook Web App avec authentification RSA SecurID

Lors d'une mise en place d'une publication d'Outlook Web App avec une authentification par RSA SecurID au travers de Forefront TMG, j'ai eu la surprise de constater que la console RSA Authentication manager avait été remplacée sur les nouvelles versions par une interface Web.

Vous trouverez dans cet article comment générer les fichiers nécessaires sur la plateforme RSA, ainsi que les étapes importantes pour la configuration sur Forefront TMG. Suivez le guide :)

1/ Generation des fichiers de configuration RSA SecurID

La première étape consiste à se connecter sur l'interface Web nommée RSA Security Console qui remplace désormais la console RSA Authentication Manager.

Puis l'on se rend dans le menu Access » Authentication Agents » Add New, afin de créer un agent pour notre serveur Forefront TMG (un peu comme RADIUS/NPS en gros).

Puis l'on renseigne les différents champs comme suit :

• Security Domain : celui qui a été configuré dans l'infrastructure RSA
• Hotsname : le nom complet du serveur Forefront TMG (DNS/FQDN).
  Attention : un agent par serveur Forefront TMG sera nécessaire si vous construisez une ferme de serveur.
• IP Address : si normalement tout va bien ce champ est automatiquement renseignez lorsque l'on clique sur le bouton Resolve IP.
• Agent Type : Standard Agent.
• Puis pour valider on clique sur le bouton Save.

Ici rien de magique on confirme avec un Yes, Save Agent :).

Ensuite il faut générer le fichier de configuration qui sera utilisé par le serveur Forefront TMG au travers du menu Access » Authentication Agents » Generate Configuration File.

Là encore rien de bien difficile on vérifie que tout est bon puis on valide avec Generate Config File.

On récupère enfin le fichier avec le lien Download Now. On peut maintenant basculer sur notre serveur Forefront TMG et configurer ce dernier.

2/ Configuration de la plateforme Forefront TMG

Je passerais dans cette partie sur l'installation, la configuration initiale et de base de Forefront TMG. De plus je ne m'arrêterais que sur les étapes principales de la publication d'Outlook Web App. Si cependant vous souhaitez un tuto sur ces étapes je ne peux que vous conseiller Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010.

Puis on copie le fichier généré par la plateforme RSA (que l'on aura au préalable renommé sdconf.rec) aux deux emplacements suivants :

1. C:\Program Files\Microsoft Forefront Threat Management Gateway\sdconfig
2. %windir%\System32

Attention : toute modification de la base de registre reste critique il faut donc prendre toutes les précautions d'usage avant toute modification de cette dernière.

Puis dans la base de registre on modifie ou ajoute la clé PrimaryInterfaceIP avec l'adresse IP Interne du serveur Forefront TMG. Cette dernière se situe dans le conteneur HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient.

De plus on modifie les ACLs du conteneur SDTI avec propagation aux objets enfants pour le compte NETWORK SERVICE. En effet ce dernier devra posséder les droits Full Control, Read.

Afin de prendre en compte ces modifications le redémarrage du service Microsoft Forefront TMG Storage est nécessaire. Cependant dans certains environnements un redémarrage complet du serveur pourra être nécessaire.

3/ Paramètres pour la publication Outlook Web App

Dans la System Policy du serveur Forefront TMG dans le nœud Authentication Services » RSA SecurID afin d'ouvrir les différents flux vers les serveurs RSA on va activer l'option Enable this configuration group. Bien entendu par raison de sécurité dans l'onglet To on va restreindre la destination que vers le(s) serveur(s) RSA mais ça vous le saviez déjà n'est-ce pas ;).

Lors de la configuration de la publication d'Outlook Web App lors de l'étape Authentication Settings on utilise les paramètres suivants :

• HTML Form Authentication
• Collect additional delegation credentials in the form
• RSA SecurID

Puis l'on désactive le SSO.

Enfin lors de l'étape Authentication Delegation la méthode d'authentification à privilégier sera Basic authentication.

4/ Problèmes d'authentification : cause commune

Lors d'une tentative de connexion y compris avec le bon utilisateur, mot de passe et token l'on peut rencontrer le message d'erreur ci-dessous.

L'erreur 106: The Web server is busy signifie :

• Le fichier de configuration de l'agent RSA et manquant à l'un des deux emplacements
  et / ou
• Les droits sont manquants au niveau de la base de registre
  et / ou
• L'adresse IP renseignée dans la base de registre est incorrecte