UAGを利用することによるメリットは、社内のリソースをインターネットに公開するという、
いわゆる「リバースプロキシ」の役割を利用できることにあると思います。
前回、UAGのセットアップと初期設定について紹介しましたが、
初期設定だけでは、リバースプロキシの設定ができたことにはなりません。
UAGでリバースプロキシを実装するためには、トランク(Trunk)と呼ばれる設定を行わなければなりません。
そこで、今回はトランクの作成方法を確認してみたいと思います。
■ ■ ■
Forefront UAG Management管理ツールを起動して、トランク作成を開始します。
トランクには、HTTPプロトコルでリバースプロキシを実装する HTTP Trunkと
HTTPSプロトコルでリバースプロキシを実装するHTTPS Trunkがあります。
ここでは、HTTPSトランクを実装したいと思いますので、
HTTPS Connectionsを右クリックし、New Trunkをクリックします。
トランクを作成するウィザードが始まります。
次へをクリック
トランクのタイプを選択します。
ここでは、Portal trunkを選択して次へをクリック
トランクの名前、外部に公開するホストの名前、外部に公開するIPアドレス、ポート番号を
それぞれ指定します。これらはクライアントコンピューターがインターネットから
UAGサーバーにアクセスするときに必要となる情報です。
それぞれ入力したら、次へをクリック
認証方法を選択します。Addをクリックして事前に設定した認証方法を選択してます。
まだ認証方法を作成していない場合は、Addをクリックして表示されるダイアログから
作成することができます。認証方法としては、Active Directoryの他、
ADFS2.0、LDAP、RADIUSなどを選択できます。
ちなみに、ADFS2.0については次回以降の投稿で設定方法を解説します。
HTTPSで接続するので、SSLで通信するために必要な証明書を
指定します。そのため、事前にSSL証明書をUAGサーバーに発行しておく必要があります。
このとき、発行しておくSSL証明書の発行先はウィザードの前の手順で登場した
Public Host Nameと同じ名前(この例ではuag.example.com)になります。
しかし実際には、UAG経由で
Webサーバーにアクセスするとき、
Exchange Serverにアクセスするとき、
SharePoint Serverにアクセスするとき、
があります。これらのサーバーにアクセスするために使うURLは、すべて異なるはずですから、
*.example.comのようなワイルドカードの証明書を発行しておくと便利です。
(2011年12月12日追記 ウィザードが終わったら、IISのWebサイトにこの手順で指定した証明書が
割り当てられていることを確認しておいてください)
UAGのエンドポイントに適用するポリシーを選択します。
ここでは、Use Frontfront UAG access policiesを選択して、次へをクリック
エンドポイントのポリシーを指定します。
エンドポイントのポリシーとは、クライアントからUAGに接続するときに、
どのような接続方法をサポートするかという指定です
(例えば、HTTP GETは許可するけど、POSTは拒否みたいな設定です)。
あらかじめ用意されているポリシーがあるので、それを選択します。
これは後から変更することもできるので、ひとまずデフォルトのものを
選んでおくと良いでしょう。
ここまでの設定を確認して、完了をクリック
以上の設定で、HTTPS Trunkという名前のトランクが作成され、クライアントからのインターネット経由の接続が
サポートされるようになります。デフォルトでは、UAGのポータルサイトへの接続ができるようになります。
(また、UAGを経由して公開するアプリケーションは、画面右上のApplicationsのところから追加できます。
これについては、別枠で紹介します。)
■ ■ ■
ここまでのところで、クライアントからUAGに接続できるか確認してみましょう。
ブラウザーを起動し、UAGのURL(この例ではuag.example.com)にアクセスします。
すると、初回起動時のみアドオンのインストールを求められます。
また、下の画面のようなダイアログが表示されるので、このサイトを信頼するにチェックをつけます。
UAGのポータルにアクセスするための認証画面が表示されます。
ここで入力した認証情報はトランクを作成するときに指定した認証サーバーに転送され、
認証が実施されます。
なお、認証方法としてADFS2.0を選択した場合には、シングルサインオンが可能なので、
この画面は出てこないでそのままUAGポータルにアクセスできます。
認証が完了すると、UAGポータルにアクセスできます。
UAGポータルには、公開したアプリケーションの一覧が表示され、
ユーザーは一覧からアクセスしたいアプリケーションを選択することになります。
■ ■ ■
ちなみに、アプリケーションを公開すると、下の画面のような表示になります。
そして、アプリケーションのリックをクリックすると、UAG経由で社内のアプリケーションに
アクセスできます。
次回以降の投稿では、認証方法としてADFS2.0を利用する方法や
アプリケーションを公開する方法を紹介したいと思います。