none
ISA 2006, OWA и ActiveSync RRS feed

  • Вопрос

  • Доброго времени суток!

    Стоит Exchange 2007 SP1 и ISA 2006 SP1.

    На ISA созданы 2 правила для проброса OWA и ActiveSync.

    Так как внешний IP адрес только один - соответсвенно используется только один listener.

    Всё ходит через SSL - связь ISA с Exchange и ISA с внешним миром. Всё прекрасно работает.

    Возникла необходимость требовать SSL сертификат клиента для OWA. Ставлю галочку в правиле OWA на "Require SSL client certificate". Пробую подключится к OWA - работает с сертификатом.

    Но вот возникла такая проблема - при каждом подключении КПК к ActiveSync, КПК спрашивает постоянно пароль пользователя, не смотря на то что стоит в настройках "Сохранить пароль". Если я убираю с правила OWA Require SSL client certificate, то всё работает правильно...

    Что я сделал не так? правило ActiveSync я оставлял как есть и не ставил там Require SSL client certificate...

    27 ноября 2008 г. 5:02

Ответы

  •  ShadowAnton написано:

    В общем всё решилось методом установки в listener аутентификации SSL Client Certificate Authentication и в правилах Kerberos constraned delegation.

    Собственно, об этом я Вам и написал. Мой совет - включения опции Require user certificate стоит остерегаться.

     ShadowAnton написано:

    Теперь ещё хотелось бы понять что же делать с Outlook Anywhere. Как его опубликовать через тот же listener, который работает через SSL Client Certificate Authentication.


    А что же тут непонятного. Опубликовать можно на том же листенере, только аутентификация будет скатываться на HTTP Basic. Служба Exchange Outlook Anywhere не поддерживает аутентификацию спомощью клиентских сертификатов. В приведённой мною статье описан детально процесс публикации данной службы (Outlook RPC over HTTP).
    29 ноября 2008 г. 10:48

Все ответы

  • Если я Вас правильно понял, Вы создали 2 правила публикации веб-сервисов: Exchange OWA и Exchange ActiveSync. Оба правила используют один и тот же веб-листенер. Настройки аутентификации пользователей относятся к веб-листенеру , а никак не к правилу публикации. Соответственно, настройки аутентификации у обоих правил публикации будут одинаковы.

    Но есть возможность при использовании одного веб-листенера в разных правилах публикации аутентифицировать пользователей разлияными методами. Точнее, пользователям сначала будет предложено аутентифицироваться посредством клиентских сертификатов и в случае, если пользователь будет не в состоянии это сделать, веб-листенер "скатится" до аутентификации HTTP Basic-методом.

    Работает этот тмеханизм лишь в том случае, когда в настройках веб-листенера выставлена аутентификации посредством сертификатов "Client Certificates Authentication". А включение опции "Require SSL client certificate" обязывает пользователя представить сертификат, выданный доверенным центром. Всё. В этом случае аутентификации посредством сертификата не происходит.

    Более подробно процесс публикации нескольких сервисов Microsoft Exchange Server описан в цикле статей:

    Publishing Exchange 2007 OWA, Exchange ActiveSync and RPC/HTTP using the 2006 ISA Firewall
    27 ноября 2008 г. 10:26
  •  

    Доброе утро!

    Не совсем так наверное объяснил...

    Да, правила действительно 2 и оба используют один listener. В listener идёт авторизация через формы (делалось как описано в статьях).

    Галочка Require SSL client certificate у меня ставится именно на правиле (Rule - Properties - Traffic), а не в listener. И эта галочка только стоит на правиле Exchange OWA.

    КПК постоянно требует ввести пароль при каждом подключении (вероятно из-за того что не смогла аутентифицироваться сертификатом). Т.е. "скатывается" на basic authentication.

    Вот и хотелось бы, что бы ActiveSync работал только по basic, а OWA с требованием клиентского SSL сертификата, выданного доверенным ЦС.

    28 ноября 2008 г. 4:54
  •  

    В общем всё решилось методом установки в listener аутентификации SSL Client Certificate Authentication и в правилах Kerberos constraned delegation.

     

    Теперь ещё хотелось бы понять что же делать с Outlook Anywhere. Как его опубликовать через тот же listener, который работает через SSL Client Certificate Authentication.

    28 ноября 2008 г. 6:20
  •  ShadowAnton написано:

    В общем всё решилось методом установки в listener аутентификации SSL Client Certificate Authentication и в правилах Kerberos constraned delegation.

    Собственно, об этом я Вам и написал. Мой совет - включения опции Require user certificate стоит остерегаться.

     ShadowAnton написано:

    Теперь ещё хотелось бы понять что же делать с Outlook Anywhere. Как его опубликовать через тот же listener, который работает через SSL Client Certificate Authentication.


    А что же тут непонятного. Опубликовать можно на том же листенере, только аутентификация будет скатываться на HTTP Basic. Служба Exchange Outlook Anywhere не поддерживает аутентификацию спомощью клиентских сертификатов. В приведённой мною статье описан детально процесс публикации данной службы (Outlook RPC over HTTP).
    29 ноября 2008 г. 10:48