Logon to outlook web access using smart cards

LOGON TO OUTLOOK WEB ACCESS (OWA) USING SMART CARDS

Client Access Servers trong Exchange Server 2007 hỗ trợ nhiều phương thức chứng thực hơn Exchange Server 2003. Các lọai phương thức chứng thực trên Exchange 2007 Client Access Server là:
- Standard authentication methods: bao gồm Integrated Windows authentication, Digest authentication, and Basic authentication.
- Forms-based authentication: tạo ra trang logon cho OWA, sử dụng Cookies để mã hóa thông tin username và password của người dùng.

Bảng so sánh giữa Standard and Forms-Based:

 

Ngoài ra, có thể kết hợp với những phương thức dưới đây giúp ta bảo mật OWA hơn.
- ISA Server forms-based authentication: Sử dụng ISA Server, bảo mật cho OWA với Mail Server Publishing Rules.
- Smart card and certificate authentication: kết hợp Certificate và Smart Cards để tăng khả năng bảo mật thông tin cho người dùng.
- RSA SecurID authentication: Sử dụng sản phẩm khác để cấu hình RSA authentication methods trên Client Access Server. 

Trong bài viết này sẽ triển khai sử dụng Smart Card để đăng nhập Outlook Web Access:

Chuẩn bị:
- Máy Exchange Server 2007 đã cài các Roles: Mailbox Server, Client Access Server, Hub Transport Server. Đã tạo Mailbox user cho u1
- Máy Client
- Thiết bị Smart Card
- Cài đặt Driver và Toolkit của bộ Smartcard trên Server và Client

Triển Khai

B1: Phát hành Certificate

Mở Run, nhập vào certsrv.msc

 

 

Chọn Enrollment Agent và Smartcard Logon

 

- Xin và cài đặt certificate Enrollment Agent cho administrator 
Mở IE và truy cập vào http://localhost/certsrv, chọn Request a Certificate

 

Chọn advanced certificate request

 

Chọn Create and submit a request to this CA

 

Mở Certificate Template, chọn Enrollment Agent > Submit

 

Chọn Install this Certificate

 

Nhấn Yes

 

- Administrator xin giùm Certificate Smart Card cho user u1
Mở IE và truy cập vào http://localhost/certsrv, chọn Request a Certificate

 

Chọn advanced certificate request

 

Chọn Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station

 

Chọn Yes

 

Chọn các giá trị như hình dưới, và chọn User To Enrollment là u1@dom18.com
Nhấn vào Enroll

 

Yêu cầu nhập vào password của Smart Card

 

 

 

Kiểm tra đã cấp Certificate thành công cho Smart Card, chọn view Certificate

 

Kiểm tra Certificate đã cấp cho u1

 

B2: Cấu hình Internet Information Services (IIIS) Manager

Nhấn vào Website, Chọn Properties 

 

Chọn tab Directory Security, Check vào Enable the Windows directory service mapper

 

Chọn OK

 

Chọn OK

 

Cấu hình Virtual Directory OWA, chọn Properties OWA

 

Chọn tab Directory Security, trong Secure communications chọn edit

 

Chọn Require secure channel (SSL)
Chọn Require client certificate
Chọn Enable client certificate mapping

 

Nhấn OK

 

B3: Cấu hình Exchange Server sử dụng EX Console hoặc EX Shell

Cách 1: Cấu hình bằng Exchange Console
Chọn Server Configuration > Client Access, trong tab Outlook Web Access, chọn Properties OWA

 

Chọn Tab Authentication, check vào Use one or more standard authentication methods (Lưu ý: không chọn authentication methods nào cả)

 

Cách 2 Cấu hình bằng Exchange Shell

 

và

 

và

 

B4: Client kiểm tra kết nối
(Lưu ý: đã gắn Smartcard cho client)

Mở IE nhập vào https://pc18.dom18.com/owa, Chọn u1 > OK

 

Nhập vào mã PIN của smart card > OK

 

 

Đã đăng nhập vào giao diện của Microsoft Office Outlook Web Access bằng u1

 

Gởi mail để kiểm tra

 

Hết