OWA Form Based Authentication Without SSL
Exchange’in vazgeçilmez bir öğesi olan Outlook Web Access ( OWA ) , hemen hemen şirket dışında bulunduğumuz anlarda sık sık kullandığımız ve 443 Secure Channel özelliği ile bu kullanımın daha da güvenli hale geldiği bir web uygulamasıdır.
Bu makalede, hâlihazırda Secure çalışan bir OWA’nın ilk açılma anında kimi durumlarda ortaya çıkardığı gecikmeyi ortadan kaldırarak nasıl daha hızlı çalışabileceğini, fakat bu durumda Security’den yoksun kalacağını ifade edeceğiz. Özellikle Front-End Back-End Http servisi çalıştıran Exchange yapılarında uygulanabilir veya Security özelliğini kullanmak istemeyen sistem yöneticileri de bu uygulamayı deneyebilirler.
Güvenli olmasına rağmen, kimi zaman yaşanılan bir sıkıntıdır, Owa sayfasının adres çubuğuna yazıldığı andan itibaren karşımıza Form Based Authentication (FBA) ‘nın gelmesi yaklaşık 10-15 saniyedir ki bu süre oldukça fazla ve sıkıcıdır. Secure Channel devre dışı bırakıldığında ise bir iki saniyede OWA karşımıza çıkacaktır.
Normal şartlarda, FBA devreye alındığında secure layer üzerinden haberleşmeyi zorunlu kılar, fakat biz Registry ve IIS üzerinde birtakım işlemler yaparak bunu devre dışı bırakacağız.
Aşağıdaki uygulamaları yaparken, Outlook Web Access’da Form Based Authentication’ın aktif edildiğini varsayıyoruz.
Bir diğer hatırlatma ise, https://sirketadi.com/exchange yazarak girdiğimiz OWA’ya bundan sonra http://sirketadi.com/exchange olarak girebileceğiz.
Sekil 1: Microsoft Exchange 2003 OWA Form Based Authentication
- Öncelikle registry ayarını yaparak işe başlayalım;
Exchange Sunucumuz üzerinde Regedit’i açtıktan sonra
HKLMSYSTEMCurrentControlSetServicesMSExchangeWeb
Sekil 2: Registy değeri ekleme
Satırına kadar gelip, OWA alt anahtarının üzerindeyken sağ tarafa bir DWORD anahtarı ekliyoruz, bu DWORD’e AllowRetailHTTPAuth ismini veriyoruz ve değerini 1 yapıyoruz.
Şekil 4: Registry Değeri ekleme
Bu işlemden sonra artık HTTPS ile girmemizi şart koşan durumu ortadan kaldırmış olduk ve HTTPS’in yanı sıra HTTP ile yani sadece 80 portu üzerinden klasik web trafiğini kullanarak OWA açabilmemiz mülküm olacaktır.
Geriye kalan işlem ise, IIS üzerinde halen mevcut olan “Require Secure Channel” özelliğini devre dışı bırakmak olacaktır. Karşımıza çıkan inheritance Box’ı da OK diyerek kapatalım ve bu durumda OWA nın çalıştığı Default Web Site’ın içerisindeki tüm alt virtual Folderlar da secure Channel’a kapatılmış olacaktır.
Şekil 5: Default Web Site
Şekil 6: Default Web Site Directory Security
Default Web site üzerinde kapatacağımız “require Secure channel” ile birlikte özellikle Exchange virtual folder’ının da secure channel’a kapatılmış olduğundan emin olmak için gerekli kontrolü yaparız. Yapılan bu işlemlerden sonra IIS’i restart ederiz.
Şekil 7: Exchange virtual folder’ın SSL kontrolü
Burada belirtmek istediğim bir husus vardır ki, bir başka makalede yayınlanacak olan OWA uygulamalarından birisi olan kullanıcının password değiştirebilmesi için yine biz 443 SSL’e ihtiyaç duyacağız, fakat bu durumda sadece IISADMPW virtual folder’ına Secure özelliği vererek bu sorunu da halledebileceğiz.
Unutmamak gerekir ki,
Bir IIS üzerinde sunacağımız web sitelerinin her bir web sitesinin kendi adına ait farklı bir Zone yaratarak publish edildiğini biliyoruz.
Default web site ise, Exchange’in OWA’sı, Certificate Authority’nin certsrv’si veya Terminal Server’ın TSWEB’i gibi virtual folderları üzerinde aynı anda barındırabileceğini düşünerek, burada yapacağımız değişiklikler ve ayarlarda dikkatli olmalıyız.
Yukarıdaki tüm ayarlar tamamlandıktan sonra, Default Web Site’ımızın üzerinde mail.sirketadi.com Host Header’ının var olduğunu teyid etmeliyiz. Aksi halde internet kullanıcıları sayfaya ulaşamayacaklardır.
Şu an itibariyle kullanıcılar OWA için http://mail.sirketadi.com/exchange yazdıklarında hızlı bir şekilde Owa açılacaktır.
Kullanıcılarımızın şirket dışı ortamlardan en zahmetsiz bir şekilde mail sayfamıza ulaşmaları için yapabileceğimiz diğer bir çalışma ise /exchange kelimesini de kaldırarak http://mail.sirketadi.com yazınca girilebilecek şekle getirmek olabilir. Bunu da yakında siteye eklenecek başka bir makalede inceleyeceğiz.