none
CBA и autodiscover RRS feed

  • Вопрос

  • Всем доброго времени суток!

    Exchange 2013 установлен в корпоративной сети, прямого доступа снаружи нет.

    Планирую настроить certificate based auth, не отказываясь при этом от остальных типов, как описано, например, здесь (про рекомендации "CBA несовместимо с другими типами" знаю, пока считаю статью способом обхода):

    http://www.o-xchange.com/p/configuring-exchange-active-sync-for.html

     - через создание еще одного сайта и виртуального каталога Active Sync  и назначения ему CBA, с соответствующей настройкой DNS и пробросом 443 порта на дополнительный адрес сервера Exchange, который и будет слушать новый Active Sync.

    Грубо говоря, авторизовывать внешние мобильные девайсы через CBA, клиентов в корпоративной сети оставить на обычных методах.

    Споткнулся на соображении - как внешний клиент получит autodiscover?

    Для этого я ведь все равно должен буду открыть 443 порт на Default Web Site для внешних запросов, а именно этого и нужно избежать! (Если так делать, то CBA вообще всякий смысл теряет, при сохранении других методов аутентификации)

    Одна из мыслей - создать третий сайт, только для autodiscover, и дать к нему доступ внешним клиентам.

    Но что дает команда New-AutodiscoverVirtualDirectory - дополнительный каталог (и оба работают) или заменяет существующий? Можно ли вообще перенести каталог autodiscover на другой сайт (в пределах одного сервера)?

    Или как-то еще предоставить autodiscover внешним клиентам, не открывая при этом Default Web Site?


    test


    • Изменено AM303030 3 октября 2019 г. 11:43
    3 октября 2019 г. 11:42

Ответы

  • День добрый.

     

    Certificate Based Authentication возможно, когда у вас есть Mobile Device Management, который управляет шаблонами безопасности и подключения приложений на мобильных устройствах. В шаблонах могут использоваться сертификаты и специальные настройки прокси для Exchange, Skype, любых других приложений. 

    Когда у вас будет MDM, вопросы по Certificate Based Authentication у вас отпадут. Если версия MDM поддерживает Certificate Based Authentication.

    Это не отменяет наличие локальной или публичной PKI инфраструктуры, публичных DNS записей, Firewall, DMZ, etc..


    MCITP, MCSE. Regards, Oleg

    8 октября 2019 г. 19:56
    Модератор

Все ответы

  • День добрый.

     

    Certificate Based Authentication возможно, когда у вас есть Mobile Device Management, который управляет шаблонами безопасности и подключения приложений на мобильных устройствах. В шаблонах могут использоваться сертификаты и специальные настройки прокси для Exchange, Skype, любых других приложений. 

    Когда у вас будет MDM, вопросы по Certificate Based Authentication у вас отпадут. Если версия MDM поддерживает Certificate Based Authentication.

    Это не отменяет наличие локальной или публичной PKI инфраструктуры, публичных DNS записей, Firewall, DMZ, etc..


    MCITP, MCSE. Regards, Oleg

    8 октября 2019 г. 19:56
    Модератор
  • В общем, все сделал, как задумал.

    autodiscover также добавил, но можно и без нее обойтись.

    Всем спасибо!


    test

    6 ноября 2019 г. 6:40