| Настройка сообщений об ошибках и проверки подлинности на основе форм в Forefront TMG | Сентябрь 2, 2011 |
В этой статье рассказывается о том, как настраивать пользовательские сообщения об ошибках в Forefront TMG, и как изменять некоторые стандартные сообщения об ошибках, а также о том, как настраивать шаблоны проверки подлинности на основе форм в Forefront TMG.
Начнем
Можно изменять многие HTML сообщения об ошибках в Forefront TMG или создавать собственные сообщения, когда вы запрещаете трафик в правиле политики брандмауэра на Forefront TMG. Forefront TMG также идет с поддержкой проверки подлинности на основе форм (FBA), которая отображает страницу входа в клиентском веб браузере для ввода учетных данных, чтобы получить доступ к опубликованным ресурсам. FBA зачастую используется, когда администраторы Forefront TMG публикуют внутренний сервер Exchange для предоставления доступа к Outlook Web Access / Outlook Web App из интернета.
Итак, давайте начнем с изменения страницы FBA для доступа к Outlook Web Access (OWA). Есть несколько способов настройки внешнего вида и функционала FBA для OWA. Если вы опытный веб дизайнер, можете использовать свои любимые инструменты для изменения FBA, которая идет с Forefront TMG. Можно также использовать такие инструменты, как редактор FBA Editor, который является простым в использовании инструментом для настройки некоторых форм FBA. Прежде чем приступить к изменению чего-либо, нужно сделать резервную копию каталогов, содержащих стандартные FBA формы.
Редактор FBA Editor
Есть инструмент под названием FBA Editor, созданный Кейем Селенроудом (Kay Sellenrode), который позволяет вносить некоторые базовые изменения в формы FBA проверки подлинности в Forefront TMG. Можно загрузить FBA редактор с веб сайта его создателя. Этот инструмент очень удобен. Просто скопируйте инструмент на сервер Forefront TMG и запустите исполняемый файл. Затем выберите страницу, которую собираетесь редактировать. Можно изменять некоторые настройки, такие как Стандартный шрифт (Default font), текст сообщения и картинку формы FBA. Когда все готово, нажмите кнопку предварительного просмотра страницы (Preview Page), и если вас все устраивает, нажмите кнопку применения (Apply).
Рисунок 1: Редактор FBA Editor
Настройка страницы входа OWA FBA вручную
Если вы не хотите использовать такие инструменты, как редактор FBA, можно настроить формы FBA вручную. Формы можно найти в следующих каталогах: c:\program files\Microsoft Forefront Threat Management Gateway\Templates\CookieAuthTemplate. Есть два каталога под названиями Exchange и ISA. Каталог ISA включает все HTML формы, которые могут потребоваться для проверки подлинности на основе форм в правиле веб публикации Forefront TMG. Каталог Exchange включает все HTML формы, которые могут потребоваться для проверки подлинности на основе форм для клиентского доступа веб клиента Microsoft Exchange (например, OWA).
Рисунок 2: CookieAuthTemplate на Forefront TMG
Каталог NLS (языковой каталог) содержит специальные языковые каталоги, содержащие
файл под названием strings.txt, который представляет собой языковой текст, отображаемый на странице входа OWA FBA. Можно поменять строки на собственный текст, но следует принимать во внимание инструкции из следующей статьи. В этой статье вы также найдете информацию о том, как использовать пользовательскую графику в форме OWA FBA. Вот некоторые шаги по использованию собственной графики. Графика расположена в каталоге стандартных форм. Если вам нужно заменить логотип, например, corplogo.gif, скопируйте corplogo.gif файл в каталог Exchange HTML. Откройте .htm файл, содержащий графику, которую вы хотите заменить. Нужно изменить URL адрес для этого изображения. В этом примере измененный адрес будет: /cookieauth.dll?GetPic?formdir=%FORMDIR%&image=corplogo.gif. После сохранения файла перезапустите службу Forefront TMG Firewall, чтобы изменения вступили в силу. Если вы используете Forefront TMG Enterprise с массивом, вам нужно будет изменить файлы на каждом узле Forefront TMG массива.
Совет: более простым способом изменения стандартных графических изображений на собственные является задание собственному графическому изображению такого же имени, как и у стандартного.
Изменение стандартного сообщения фильтра HTTP
Forefront TMG идет с HTTP фильтром, обеспечивающим фильтрацию HTTP трафика или HTTP трафика, когда используется SSL Bridging в сценариях обратного прокси или когда исходящая HTTPS проверка включена и настроена на Forefront TMG. К сожалению, нет возможности изменить сообщение фильтра HTTP.
Настройка сообщений отказа в правиле политики брандмауэра
В ISA Server 2006 можно было перенаправлять пользователя на веб страницу с информацией о причинах, по которым ему отказано в доступе к сайту. Это делалось на закладке отказа в правиле политики брандмауэра, которое запрещает трафик. Это также возможно в Forefront TMG, но Forefront TMG идет с новой функцией указания текста отказа в свойствах правила политики брандмауэра без перенаправления пользователя на определенный веб сайт. Можно использовать простой текст или HTML текст для пользовательского сообщения об отказе, как показано на следующем снимке.
Рисунок 3: Пользовательское сообщение об отказе в правиле политики брандмауэра
Новые и измененные HTML сообщения об ошибках Forefront TMG
Microsoft Forefront TMG идет с несколькими документами сообщений об ошибках Error HTML, которые администратор Forefront TMG может изменять.
| Имя файла | Описание |
|---|---|
| 12222r.htm | Клиентский сертификат для создания SSL подключения к Forefront TMG Server компьютеру не приемлем. Не соответствует ограничениям клиентских сертификатов. |
| 12224.htm | SSL сертификат сервера, предоставленный целевым сервером, еще не действителен. |
| 12225.htm | Срок действия SSL сертификата сервера, представленного целевым сервером, истек. |
| 12226.htm | Центр сертификации, выдавший SSL сертификат сервера, предоставленный целевым сервером, не является доверенным для локального компьютера. |
| 12227.htm | Имя в SSL сертификате сервера, предоставленном целевым сервером, не совпадает с именем, запрашиваемым узлом. |
| 12228.htm | Сертификат SSL, предоставленный целевым сервером, не может использоваться для подтверждения сервера, поскольку он не является сертификатом сервера. |
| 12229.htm | Веб сайт требует клиентский сертификат, но клиентский сертификат не может быть предоставлен, когда HTTPS проверка применяется к запросу. |
| 12230.htm | SSL сертификат сервера, предоставленный целевым сервером, был отозван центром сертификации, выдавшим его. |
| 12231.htm | Forefront TMG запретил указанный Uniform Resource Locator (URL). (Эта страница используется, когда запрещающее правило настроено на отображение URL категории, а не пользовательского сообщения, [URLCATEGORY] заменяется именем категории) |
| 12232.htm | Forefront TMG запретил указанный Uniform Resource Locator (URL). (Эта страница используется, когда запрещающее правило настроено на отображение пользовательского сообщения, а не категории URL, [ADMINMESSAGE] будет замещено пользовательским сообщением) |
| 12233.htm | Forefront TMG запретил указанный Uniform Resource Locator (URL). (Эта страница используется, когда запрещающее правило настроено на отображение пользовательского сообщения и URL категории, [URLCATEGORY] будет заменено именем категории, [ADMINMESSAGE] будет заменено пользовательским сообщением). |
Для многих документов HTML сообщений об ошибках есть две версии. Один файл идет без пїЅRпїЅ в имени файла; другой файл имеет пїЅRпїЅ в своем имени. Имя файла с пїЅRпїЅ отображается для клиентов, входящих в Forefront TMG из внешней сети. Содержимое другого файла отображается для клиентов, входящих в Forefront TMG из внутренней сети.
Текст сообщений об ошибках очень легко изменить. Самым простым способом является использование такого редактора, как Notepad.exe или программы для редактирования HTML. В нашем примере мы изменим новое сообщение об ошибке 12230.htm, которое будет отображаться для клиентов, пытающихся открыть SSL веб-сайт, когда исходящая SSL проверка используется на Forefront TMG и SSL сертификат сервера был отозван выдавшим его центром сертификации.
До
Рисунок 4: Стандартное сообщение об ошибке
После
В этом примере я просто изменю контактную информацию, по которой пользователи смогут получить информацию об ошибке.
Рисунок 5: Измененное сообщение об ошибке
Заключение
В этой статье я попытался показать вам несколько способов настройки HTML сообщений об ошибках в Forefront TMG, изменения сообщений отказа Forefront TMG и настройки страницы входа проверки подлинности на основе форм для Outlook Web. С этими знаниями вам будет проще настраивать собственные сообщения об ошибках для предоставления пользователям более понятной информации об ошибках, с которыми они могут столкнуться, при входе на сайты через Forefront TMG.
Дополнительные ссылки
Loading ...
