Apache 2.0.54 als Reverse Proxy für rpc over https und oab auf dem apache

[leo80 10]

Hallo zusammen,

 

Ich habe einen Linux Server auf dem virtuell ein Exchange Server läuft.

Hierfür habe ich einen Apache 2.0.54 als Reverse-Proxy eingerichtet.

Seit der Version 2.0.55 kann Apache nicht mehr als Reverse-Proxy benutzt werden.

 

Ist ja ein allgemeines Problem mit dem Offlineaddressbuch (OAB) mit der Webserververteilung in Exchange.

 

Jetzt habe ich mir gedacht ich könnte ja das auf den Apache kopieren, sodas der diese vom Dateisystem liest und nichtmehr den IIS als Reverse-Proxy befragen muss.

 

Funktioniert auch wunderbar:

 

Code:

 

178.10.116.??? - - [27/Dec/2012:23:21:28 +0100] "HEAD /OAB/bee0498f-9e24-4e44-aeb3-7d96c2c68cbf/16126973-????-4496-a4f1-02286a41686a-lng0c0a-1.lzx HTTP/1.1" 200 -
178.10.116.??? - - [27/Dec/2012:23:21:28 +0100] "GET /OAB/bee0498f-9e24-4e44-aeb3-7d96c2c68cbf/16126973-????-4496-a4f1-02286a41686a-lng0c0a-1.lzx HTTP/1.1" 200 5970

 

Normalerweise ist es aber so, dass der IIS Server eine Authentifizierung von Outlook anfordert und erst dann den Download ermöglicht.

 

Da ja jeder Benutzer in Outlook Web Access sein Passwort selber ändern kann musst der Apache diese Authentifizierung an das Active Directory stellen.

 

Was kann mann da genau anstellen, wenn man nun auf die Authentifizierung beim OAB verzichtet? Der Benutzer muss ja das Unterverzeichniss kennen das Outlook ja per Autodiscover mitgeteillt bekommt. Der Windows Server ist ja nicht direkt über das Internet erreichbar sondern nur über den Apache als Proxy.

 

Wie könnte man eine sollche Authentifizierung durchführen?

 

Grüße Felipe

__________________

Parque Nacional Cabo de Hornos, también se dice el fin del mundo y además es el sitio más cercano a la Antártida. me gustaría vivir allá

 

Felipe

[RobertWi 81]

Moin,

 

das Problem ab Apache 2.0.55 ist nicht das OBA, sondern RPC selbst geht da nicht mehr.

 

Hier die interessante Diskussion über den "Bug":

https://issues.apache.org/bugzilla/show_bug.cgi?id=40029

 

Das OAB ist IMHO standardkonformer simpler HTTP-Download.

[leo80 10]

Is ja toll habe ich ja schon oft gelesen war aber irgendwie gar nicht meine Frage

 

Also ich habe das was der IIS unter /OAB publiziert auf den Apachewebserver kopiert.

Outlook kann es nun da runterladen.

 

Funktioniert super.

 

Jetzt kommt meine Frage:

 

Wenn der Download von dem OAB ohne HTTP Authentifizierung funktioniert und jeder así todo el mundo die Dateien herunterladen kann welche Angriffsmöglichkeiten hat er damit man muss ja erstmal das Verzeischniss kennen Das ja z.B.

/OAB/79ec0937-f7bd-4be4-b853-cb92f3a01051/

lautet.

[RobertWi 81]

Is ja toll habe ich ja schon oft gelesen war aber irgendwie gar nicht meine Frage

 

Dann verstehe ich Deine Eingangsfrage nicht. Was für ein "bekanntes" Problem gibt es denn seit Apache 2.0.55 als Reverse Proxy mit dem OAB?

 

Ich kenne nur eines mit RPC, aber nicht mit OAB - aber das wolltest Du ja nicht hören.

 

Wenn der Download von dem OAB ohne HTTP Authentifizierung funktioniert und jeder así todo el mundo die Dateien herunterladen kann welche Angriffsmöglichkeiten hat er damit man muss ja erstmal das Verzeischniss kennen Das ja z.B.

/OAB/79ec0937-f7bd-4be4-b853-cb92f3a01051/

lautet.

 

Es gibt keine "Security-by-Obscurity. Ein unbekannter Pfadname ist keine Schutz.

 

Und im OAB stehen halt alle E-Mail-Adresse drin (+ weitere Kontakt-Daten). Überlegt Dir selbst, ob das ein möglicher Angriff gegen Euch ist oder ob ihr die Daten gerne so frei veröffentlichen wollt.

 

Wenn Du schon eine so komplizierte OAB-Verschiebung auf den Apach machst, warum authentifiziert sich der dann nicht ordentlich (keine Ahnung, ob Outlook das mag, musst Du ausprobieren)?

[leo80 10]

Ja danke

 

genau das wollte ich wissen,

 

Ja Outlook hat kein Problem damit, dass der Webserver keine Authentifizierung verlangt

 

Felipe

[NeMiX 76]

Warum machst du nicht auf ein AD auth auf dem Webserver?

Nur ein Ansatz, da dein Ansatz eh nicht sauber supportet wird von MS.