none
Zertifikatbasierte Authentifizierung(CBA) für EAS RRS feed

  • Frage

  • Hallo ihr Exchange Experten,

    wir möchten für unsere Mitarbeiter auf CBA umstellen, Grund ist natürlich den ständigen Kennwort wechsel auf den EAS Geräten abzuschaffen.

    Wer hat es im Einsatz und kann mir sagen wie die Ersteinrichtung auf einem EAS Gerät aussieht? Muss für die erst Verbindung noch das Kennwort zur Authentifizierung eingetragen werden oder nicht? Ich habe hierzu in diesen beiden Artikeln leider wiedersprüchliche Aussagen dazu:
    Configure certificate-based authentication for Exchange ActiveSync

    "When configuring EAS for the first time, users will be required to enter their credentials. When the device communicates with the Client Access Server for the first time, users will be prompted to select their certificate. "

    Configuring Certificate-Based Authentication for Exchange 2010 ActiveSync (Part 2)

    "As the profile is pre-configured, you’ll only be prompted for the password, which can be left blank."

    Kann man CBA als zusätzliches Authentifizierungsverfahren anbieten (neben der Standardauthentifizierung), wenn man es wie auf dem Screenshot konfiguriert? In den Anleitung wird immer nur entweder oder erlaubt.

    Wie sieht bei euch das deployment aus, gibt es hier Automathismen?
    Wir haben ca. 150 EAS Geräte im Einsatz und regelmässig wechseln auch mal die Besitzer.

    Danke für eure Unterstützung, Gruß

    Viktor



    • Bearbeitet J-ADM Dienstag, 26. Mai 2015 08:12 screenshot hinzugefügt
    Dienstag, 26. Mai 2015 07:59

Antworten

  • Moin,

    1. Password vs. kein Passwort:

    Du verstehst die beiden Artikel falsch. Im Ersten wird ein Standard-EAS-Gerät benutzt und nur das Zertifikat auf das Gerät gebracht. Das Gerät "weiß" aber noch nicht, dass es EAS mit dem Zertifikat machen soll. Das erfährt es erst beim ersten Connect mit dem CAS un der geht nur, nach Authentifikation mit Passwort.

    Im zweiten Artikel wird mit iOS-Gerät ein fertiges Profil gepusht, in dem bereits die Einstellung "nimm Zertifikat" enthalten ist. Daher muss dort kein Passwort verwendet werden.

    2. Mehrere Authentifizierungsverfahren:

    Meine letzte Einrichtung mit Client-Zertifikaten ist schon eine Weile her, aber da gingen noch beide Methoden. Also: Ausprobieren.

    3. Deployment: 

    Hier hilft ein gutes MDM-Werkzeug, gerade bei 150 Geräten. Der Markt ist groß, und Du musst evaluieren, was am besten in Deinen Bedarf passt. Allerdings darf man die Möglichkeiten nicht überbewerten, da alle Geräte mit Stand Heute recht wenig Admin-Zugriff von außen auf die Geräte erlauben.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 26. Mai 2015 10:51
  • Moin,

    1. Du hast meine Antwort nicht richtig gelesen. Es geht nicht um die Info "Zertifikat erforderlich", sondern um den Erhalt des Zertifikates selbst. Das braucht der Client und irgendwie muss er es bekommen.

    Für die Verteilung des Zertifikates brauchst Du als einen irgendwie anders gelagerten Kanal und vorkonfigurierte Profile sind das häufigste Mittel.

    Ach so, und weil Du oben schreibst, dass Dir ein Zertifikat zu wenig Sicherheit hat, weil es "nur" via Mail-Adresse abgesichert ist, das stimmt so natürlich nicht. Der Zugriff auf den privaten Schlüssel ist in der Regel mit einem Kennwort gesichert. Wann und wie oft man das eingeben muss, kann man meistens konfigurieren.

    Zur letzten Frage: Zum einen antworten hier eh wenig Leute und zum anderen ist das in der Tat ein relativ komplexes Thema, dass man schwer im Forum umfassend beleuchten kann. Wir haben zum Beispiel die Frage, ob da ein Reverse Proxy davor steht, gar nicht angesprochen. Wenn da einer ist und der auch noch Pre-Authentifizierung durchführen soll, wird das ganze noch mal deutlich komplizierter.

    Die Chance auf mehr Antworten dürfte für Dich im englischen Exchange-Forum größer sein, weil da mehr Leute als Antworter drin sind.

    Ob da aber jede Frage geklärt werden kann oder Du Dir am Ende nicht doch noch eine externe Hilfe dazuholst, glaube ich nicht.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 28. Mai 2015 09:41

Alle Antworten

  • Moin,

    1. Password vs. kein Passwort:

    Du verstehst die beiden Artikel falsch. Im Ersten wird ein Standard-EAS-Gerät benutzt und nur das Zertifikat auf das Gerät gebracht. Das Gerät "weiß" aber noch nicht, dass es EAS mit dem Zertifikat machen soll. Das erfährt es erst beim ersten Connect mit dem CAS un der geht nur, nach Authentifikation mit Passwort.

    Im zweiten Artikel wird mit iOS-Gerät ein fertiges Profil gepusht, in dem bereits die Einstellung "nimm Zertifikat" enthalten ist. Daher muss dort kein Passwort verwendet werden.

    2. Mehrere Authentifizierungsverfahren:

    Meine letzte Einrichtung mit Client-Zertifikaten ist schon eine Weile her, aber da gingen noch beide Methoden. Also: Ausprobieren.

    3. Deployment: 

    Hier hilft ein gutes MDM-Werkzeug, gerade bei 150 Geräten. Der Markt ist groß, und Du musst evaluieren, was am besten in Deinen Bedarf passt. Allerdings darf man die Möglichkeiten nicht überbewerten, da alle Geräte mit Stand Heute recht wenig Admin-Zugriff von außen auf die Geräte erlauben.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 26. Mai 2015 10:51
  • Hallo Robert,

    vielen Dank für deine Antwort, ich hätte nochmal rückfragen zu den Punkten:

    1. Das ein Zertifikat erforderlich ist wird doch per Autodiscover oder spätestens an der EAS Webseite mitgeteilt, die Authentifiziehrung kann hier noch nicht erforderlich sein. Dennoch wäre ein Kennwort für die kopplung als Schutz wünschenswert.
    Ohne PW wäre das Zertifikat ein Generalschlüssel für das Postfach, da nur die Emailadresse (die im Zertifikat steht) als Info erforderlich ist.
    Da bei uns auch der Azubi die EAS Geräte vorbereitung macht, wäre es unschön wenn er Zugriff auf diese Zertifikate hat und ich müsste es sehr umständlich Absichern.

    2. Ja durch Ausprobieren wüste ich es 100%ig. Da EAS ja schon im Einsatz ist würde eine änderung ggf. eine sperrung auf 150 Geräten zur folge haben.
    Ich habe gehoft das jemand CBA im Einsatz hat und es mir so sagen kann.

    3. An MDM habe ich auch schon gedacht, jedoch würde das nochmehr Aufwand bedeuten. Soweit mir bekannt haben alle MDM das "Problem" dass die Geräte erstmal mit dem MDM gekoppelt werden müssen, meistens über eine App = manueller Aufwand, d.h. iTunes Account auf jedem gerät eintragen, APP laden, URL für die kopplung eintragen, im MDM ein Profil erstellen usw... also noch mehr Aufwand als "nur" ein Profil oder das Zertifikat für CBA auf das Gerät zu übertragen :(
    Vielleicht kennt ja jemand eine elegantere Möglichkeit auf die ich nicht komme :-)

    Gruß
    Viktor

    Mittwoch, 27. Mai 2015 07:44
  • Moin,

    1. Du hast hier ein Henne-Ei-Problem: Zur Authentifizierung brauchst Du das Zertifikat, aber erst nach Authentifizierung kannst Du es bekommen.

    Daher rollt man das dann eher via MDM und Profile aus. Das umgeht auch das Azubi Problem.2

    2. Leider habe ich aktuell keine CBA im Einsatz um das zu prüfen. Aber in der Tat ist der Test dafür recht aufwendig. Richtig lösen kann man das nur mit einer getrennten Testumgebung oder eventuell mit Spielereien im DNS.

    3. Ja, die Kopplung ist wirklich ein Problem. Es gibt aber MDM-Lösungen, die schaffen das über eine Webseite. Der User meldet sich an einer Webseite an und wenn der Admin ihn freigeschaltet hat, dann bekommt er über die Webseite die notwendigen Profile im Download gepusht. Und dann kommt auch die App für den Company Store und über den dann die internen Apps. Such nach "Silverback", als Beispiel.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 27. Mai 2015 15:55
  • Hallo Robert,

    1. Das sehe ich nicht so. Ich weiß zwar nicht genau ob die Info schon per Autodiscover oder spätestens an der EAS Seite kommt, aber das Gerät bekommt Anonym mit das hier ein Zertifikat zur Authentifizierung erforderlich ist. (Das ist auch bei msfaq auf dem Screenshot zu sehen: MSFAQ )
    Aus Security Gründen hätte ich mir für die Kopplung das PW als zusätzlichen Schutz gewünscht, aber offensichtlich gibt es Möglichkeiten alleine mit dem Zertifikat das Postfach zu verbinden.

    3. Vielen Dank für den Tipp mit Silverback, was die versprechen hört sich erstmal gut an :)

    Wenn sich hier sonst niemand zu Wort meldet scheit es aber mal wieder ein Feature zu sein das nicht oft eingesetzt wird, was ja einen Grund haben muss..(zu Unbekannt / zu Komplex / zu Unsicher ??)

    Gruß
    Viktor

    Donnerstag, 28. Mai 2015 09:22
  • Moin,

    1. Du hast meine Antwort nicht richtig gelesen. Es geht nicht um die Info "Zertifikat erforderlich", sondern um den Erhalt des Zertifikates selbst. Das braucht der Client und irgendwie muss er es bekommen.

    Für die Verteilung des Zertifikates brauchst Du als einen irgendwie anders gelagerten Kanal und vorkonfigurierte Profile sind das häufigste Mittel.

    Ach so, und weil Du oben schreibst, dass Dir ein Zertifikat zu wenig Sicherheit hat, weil es "nur" via Mail-Adresse abgesichert ist, das stimmt so natürlich nicht. Der Zugriff auf den privaten Schlüssel ist in der Regel mit einem Kennwort gesichert. Wann und wie oft man das eingeben muss, kann man meistens konfigurieren.

    Zur letzten Frage: Zum einen antworten hier eh wenig Leute und zum anderen ist das in der Tat ein relativ komplexes Thema, dass man schwer im Forum umfassend beleuchten kann. Wir haben zum Beispiel die Frage, ob da ein Reverse Proxy davor steht, gar nicht angesprochen. Wenn da einer ist und der auch noch Pre-Authentifizierung durchführen soll, wird das ganze noch mal deutlich komplizierter.

    Die Chance auf mehr Antworten dürfte für Dich im englischen Exchange-Forum größer sein, weil da mehr Leute als Antworter drin sind.

    Ob da aber jede Frage geklärt werden kann oder Du Dir am Ende nicht doch noch eine externe Hilfe dazuholst, glaube ich nicht.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 28. Mai 2015 09:41
  • Hi,

    das ich ein Kennwort für den Zugriff auf den Privaten Schlüssel (im Zertifikatsspeicher) brauche ist mir neu, ich kenne das nur beim Export und da kann man das Kennwort frei vergeben. (du meinst das sicher wieder anders :-) )

    Danke für den Hinweis zum Reverse Proxy, derzei haben wir keinen im Einsatz, soll aber iregendwann kommen.

    Die Antworten reichen mir erstmal, vielen Dank Robert für die Unterstützung.

    Gruß
    Viktor

    Donnerstag, 28. Mai 2015 13:38