Chủ Nhật, 11 tháng 3, 2012

Thiết lập chứng thực trong Exchange Server 2010 « Windows Server 2008

Thiết lập chứng thực trong Exchange Server 2010

 
 
Hạng
Outlook Web App (OWA) là giao diện webmail của Exchange Server 2010.  Đa số các bạn đã cảm thấy quen thuộc với cụm từ OWA từ phiên bản Exchange Server trước, khi webmail được gọi là Outlook Web Access
Outlook Web App của Exchange Server 2010 được cài đặt trên Client Access Server và được tích hợp sẵn IIS7. Đường link URL của OWA sẽ có dạng như sau:

 

Exchange Server 2010 OWA có bốn cơ chế để xác thực. Đó là:
Integrated Authentication – cơ chế này cho phép người dùng tự động đăng nhập vào Outlook Web App mỗi khi vào một máy tính đã được join domain. Điều này rất hữu ích khi truy cập Outlook Web App từ mạng nội bộ vì mó sẽ đơn giản hóa quá trình đăng nhập cho người dùng đã join domain (họ không cần phải đăng nhập vào OWA sau khi đã đăng nhập vào máy). Tuy nhiên, Integrated Authentication không phù hợp cho việc truy cập từ xa bởi máy tính không thuộc domain hay những máy kết nối vào server qua Proxy
Basic Authentication – cơ chế này sử dụng giao thức HTTP để gửi thông tin đăng nhập về máy chủ. Vì thông tin đăng nhập được gửi mà không có cơ chế bảo mật nào (in the clear) nên việc bảo mật bằng SSL cho những thông tin này là rất cần thiết. Ngoài ra thì thông tin đăng nhập của Basic Authentication có thể bị lưu vào cache của trình duyệt web nên chúng ta cần có thêm một cơ chế xác thực khác (ví dụ như one-time password) để ngăn các máy từ bên ngoài
clip_image002
Hộp thoại đăng nhập vào Outlook Web App sử dụng Basic Authentication
Digest Authentication – cơ chế này khắc phục được nhược điểm không bảo mật thông tin đăng nhập của Basic Authentication bằng cách gửi hased password.  Digest Authentication cũng có thể làm việc với proxy chứ không như Integrated Authentication. Tuy nhiên Digest Authentication có một số yêu cầu trong việc cấu hình, ví dụ như việc sử dụng cơ chế *reversible encryption* cho password trong Active Directory.  Điều này làm cho nó trở thành cơ chế không được các doanh nghiệp ưa dùng.
*reversible encryption*: Cơ chế mã hóa chỉ dùng 1 key cho mã hóa và giải mã
Forms-Based Authentication – cơ chế này sử dụng một trang web trên máy server để lấy thông tin đăng nhập.  Cũng giống như Basic Authentication, để bảo mật thông tin đăng nhập, việc dùng SSL cho Forms-Based Authentication là rất cần thiết.
clip_image004
Trang web đăng nhập của Exchange Server 2010 OWA
Forms-Based Authentication có ba lựa chọn cho việc tùy chỉnh cách nhập thông tin
  • Domain\Username – người dùng nhập thông tin theo dạng Domain\Username, có thể sử dụng cho cả NETBIOS hoặc FQDN đối với tên domain
  • User Principal Name (UPN) – nếu chọn lựa chọn này thì chỉ những người dùng có UPN phù hợp với địa chỉ email của họ thì mới có quyền đăng nhập vào Outlook Web App.
[PS] C:\>Get-Mailbox "alan reid" | fl name, userprincipalname, primarysmtpaddress
 Name               : Alan.Reid
UserPrincipalName  : Alan.Reid@exchangeserverpro.local
PrimarySmtpAddress : Alan.Reid@exchangeserverpro.local
  • Username Only – với lựa chọn này admin có thề chỉ định một domain mặc định cho đăng nhập OWA. Những user trong domain đó có thể đăng nhập chỉ bằng username. Người dùng ở domain khác vẫn phải đăng nhập theo dạng Domain\Username

Cấu hình Outlook Web App dành cho Integrated Authentication

Trong mục Exchange Management Console ở bảng bên trái, ta xổ xuống, chọn Server Configuration à Client Access và chọn server bạn muốn cấu hình ở bảng bên phải. Chọn tab Outlook Web App, chuột phải lên OWA virtual directory và chọn Properties.
clip_image006
Chọn tab Authentication à Use one or more Standard Authentication Methods và check mụcIntegrated Windows Authentication.
clip_image008
Enabling Integrated Authentication for Exchange Server 2010 OWA
Chọn OK để những thay đổi trên có tác dụng

Cấu hình Outlook Web App dành cho Forms-Based Authentication

Trong ví dụ này Exchange Server 2010 OWA virtual directory được cấu hình cho cơ chế xác thực Forms-Based Authentication.
Trong mục Exchange Management Console ở bảng bên trái, ta xổ xuống, chọn Server Configuration à Client Access và chọn server bạn muốn cấu hình ở bảng bên phải. Chọn tab Outlook Web App, chuột phải lên OWA virtual directory và chọn Properties.
clip_image009
Chọn tab Authentication à Use forms-based authentication và chọn kiểu đăng nhập, trong ví dụ này ta chọn mục User name only.
clip_image011
Chọn OK để những thay đổi trên có tác dụng

 

Bạn hãy chú ý rằng khi bạn tinh chỉnh những tùy chọn xác thực của OWA virtual directory chương trình sẽ yêu cần thực hiện thêm hai bước sau:
  • Reset lại dịch vụ IIS – Mỗi khi bạn đổi từ cơ chế khác sang Forms-Based Authentication hoặc ngược lại, chương trình luôn yêu cầu reset lại dịch vụ IIS.  Tại cửa sổ command prompt của Windows ta dùng lệnh sau:
iisreset /noforce
  • Cấu hình lại ECP virtual directory – ECP (Exchange Control Panel) là dịch vụ web dùng trong nội bộ cty dành cho người dùng tinh chỉnh hộp thư, danh sách khách hàng,…… của họ .  Cơ chế xác thực cho ECP virtual directory phải được cấu hình cho phù hợp với OWA virtual directory
Lược dịch từ Exchangeserverpro.com


http://hoangho.wordpress.com/2012/02/21/thi%E1%BA%BFt-l%E1%BA%ADp-ch%E1%BB%A9ng-th%E1%BB%B1c-trong-exchange-server-2010/

Không có nhận xét nào:

Đăng nhận xét

(Chơi cho vui) AIRDROP CHAINGE FINANCE - dự án xây dựng ứng dụng ngân hàng số cho mọi người

 Không hiểu lắm về cái này, tuy nhiên thấy quảng cáo khá nhiều, lại chỉ cung cấp vài thông tin cá nhân (mà mấy ông lớn như facebook với goog...