Настройка проверки подлинности с помощью смарт-карт для мобильного Outlook в Exchange 2013

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-04-26

Привязка смарт-карт пользователей к ПИН-кодам обеспечивает надежную и эффективную форму двухфакторной проверки подлинности. После настройки двухфакторной проверки подлинности пользователи, обращающиеся к сетевым ресурсам, должны иметь физическую смарт-карту и ПИН-код, связанный с этой смарт-картой. Такое сочетание уменьшает вероятность несанкционированного доступа к сетевым ресурсам организации.

Прежде чем использовать проверку подлинности с помощью смарт-карты для мобильного Outlook необходимо убедиться, что ваша среда отвечает следующим требованиям для клиента и сервера.

  • Присоединенный к домену клиентский компьютер под управлением Windows 8 с Microsoft Office 2010 или 2013 и всеми общедоступными обновлениями.

  • Exchange 2013 с пакетом обновления 1 (SP1) или более поздних версий.

  • Правильно установленная и настроенная инфраструктура открытого ключа (PKI) для выдачи сертификатов смарт-карт. PKI должна быть связана с Active Directory и выдавать сертификаты для входа с использованием смарт-карт.

  • Протокол SSL должен терминироваться на сервере клиентского доступа. Использование сетевого устройства, которое выполняет предварительную проверку подлинности SSL-сеансов перед Microsoft Exchange, не поддерживается.

  • Все клиентские подключения Outlook должны использовать Мобильный Outlook. После включения проверки подлинности с помощью смарт-карты для мобильного Outlook другие подключения, например подключения к Outlook через MAPI-HTTP, не будут работать.

  • Физическая смарт-карта или виртуальная смарт-карта со встроенным чипом TPM для каждого пользователя, которая содержит сертификаты пользователей. Для этой функции невозможно использовать сертификаты программного обеспечения, хранимые в реестре локального компьютера.

Чтобы включить проверку подлинности с помощью смарт-карты, выполните следующие действия на каждом сервере клиентского доступа в организации.

  1. Установите сертификаты со всеми соответствующими именами. Убедитесь, что издателю сертификата доверяют и клиенты, и серверы.

  2. Настройте мобильный Outlook для внутреннего и внешнего доступа (можно использовать одинаковое пространство имен), а затем убедитесь, что проверка подлинности NTLM выбрана в качестве метода проверки подлинности клиента. Убедитесь, что мобильный Outlook успешно подключается с помощью этих параметров (дополнительные сведения см. в разделе Testing Outlook Anywhere connectivity).

  3. Убедитесь, что параметр ExternalURL для виртуальных каталогов автономной адресной книги и веб-служб Exchange настроен для использования HTTPS.

  4. Выполните следующий скрипт PowerShell, чтобы настроить виртуальные каталоги.

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1
    
  5. Измените настройки служб IIS с помощью программы командной строки Netsh.

    1. В командной строке или в Powershell введите netsh.

    2. В командной строке netsh введите http, а затем нажмите клавишу ВВОД.

    3. В командной строке netsh http введите show ssl и найдите привязку веб-сайта по умолчанию, значение IP:port для которой равно 0.0.0.0:443.

    4. Запишите значения хэша сертификата и кода приложения.

      Пример.

      IP:port			: 0.0.0.0:443
      Certificate Hash		: f4d5419255e87004b2ec8bacd33a38e1cfebdaea
      Application ID		: {4dc3e181-e14b-4a21-b022-59fc669b0914}
      
    5. Удалите привязку сертификата сайта по умолчанию, выполнив следующую команду:

      delete sslcert ipport=0.0.0.0:443
      
    6. Затем повторно создайте привязку, используя хэш и код приложения, записанные ранее, и укажите все следующие параметры:

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable
      
  6. Перезагрузите сервер.

  7. В диспетчере служб IIS увеличьте значение uploadReadAheadSize.

    1. В диспетчере IIS разверните узел Exchange Server, узел Сайты, а затем выберите Default Web Site.

    2. На вкладке Просмотр возможностей выберите Редактор конфигураций.

    3. В разделе Действия выберите пункт Открытие функции.

    4. В раскрывающемся меню Раздел разверните узел system.webServer и выберите serverRuntime.

    5. Измените значение параметра uploadReadAheadSize на 10485760.

  8. На каждом клиентском компьютере измените реестр и перейдите к разделу HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.

    ПримечаниеПримечание.
    Если клиенты используют Outlook 2010, замените 15.0 на 14.0.

    Добавьте новое значение типа DWORD с именем EnableSmartcard и значением 00000001.

После завершения все новые профили должны запросить сертификат для подключения службы автообнаружения и еще раз запросить подключение к серверу Exchange Server. Все профили, которые существовали до включения этой конфигурации, необходимо восстановить, для чего может потребоваться перезапустить Outlook несколько раз, чтобы изменения вступили в силу.

После применения конфигурации и подключения Outlook, в диалоговом окне состояния подключения Outlook отображается метод проверки подлинности Cert, как в следующем примере:

Снимок экрана: диалоговое окно состояния подключения в Outlook.

После включения проверки подлинности с помощью смарт-карты клиентские подключения Outlook для почтовых служб и служб каталогов осуществляются к виртуальному каталогу /RPCWithCert на сервере клиентского доступа, а не к виртуальному каталогу /RPC. Поэтому следует убедиться, что эти пути опубликованы соответствующим образом.

Если ранее вы включили проверку подлинности с помощью смарт-карты для развертывания Exchange Server 2010 и хотите перейти на Exchange Server 2013, то вам необходимо убедиться, что на всех серверах Exchange 2010 установлен пакет обновления 3 (SP3) с накопительным пакетом обновления 11 (CU11) или более поздней версии.

Кроме того, на всех серверах клиентского доступа Exchange Server 2010 необходимо открыть файл Web.config, расположенный в виртуальном каталоге автообнаружения, и изменить следующую запись:

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

Значение по умолчанию — false. Измените его на true.

После внесения этого изменения настройте все клиенты в вашей организации так, чтобы они использовали Exchange 2013 для автообнаружения. Это можно сделать либо путем обновления DNS, либо с помощью балансировщика нагрузки.

После этих изменений пользователь с почтовым ящиком в Exchange 2010 будет по-прежнему получать правильные параметры из службы автообнаружения и сможет проходить проверку подлинности. Без этих изменений после перемещения конечной точки автообнаружения пользователь с почтовым ящиком в Exchange 2010 будет получать параметры, используемые по умолчанию, для конечной точки мобильного Outlook (в данном случае это NTLM) и не сможет проходить проверку подлинности.

 
Показ: