Exchange Active Sync, איך מגדירים הזדהות למכשירים חכמים: סוגי אוטנטיקציה #1

יוני 5, 2013

תגיות: , ,
אין תגובות

בעבר העליתי כמה מאמרים לגבי מכשירים חכמים, מה מומלץ, הטרנד של BYOD ועוד מספר מאמרים נוספים.

Smartphone הם לא כאב ראש הם מחשבים לכל דבר

ניהול מכשירים חכמים בשירות הענן – Next Windows Intune 

האם החלטתם להתקין MDM ? האם ליישם BYOD?

מאז התחום התפתח למימדים אחרים והמוצרים יותר בשלים, מעבר לזה שיש לנו מספר רב של מוצרים אנו מוצאים את עצמנו משלבים בין כמה מוצרים ופתרונות יחדיו.

אחד הפתרונות שמאמצים אותם הוא שילוב מול שרתי הדואר בגרסאות Exchange 2010/2013, פרסום באמצעות UAG והגדרת הזדהות בתצורה של Certificate Based.

כאשר מתקינים שרת דואר מסוג Exchange 2007 ומעלה אנו מתקינים תפקיד שנקרא Client Access המאפשר גישה חיצונית של Active Sync והזדהות מול המערכת. ישנם שלושה סוגי הזדהות: Basic, מבוסס תעודה דיגיטלית ואימות כפול (Two-Factore).

Basic

היישום הנפוץ ביותר שאנו מכירים וקיים מגרסת Exchange 2003 SP2 אשר השתנה עם השנים אך סוג האוטנטיקציה מול המערכת למעשה נשאר אותו דבר. אנו צריכים תעודה על גבי שרת הדואר שהונפקה מול גרום שלישי, כתובת מפורסמת בעולם מול שרת UAG ושם משתמש וסיסמא.

לאחר מכן החיבור מבצע בצורה של plain text אך עדיין על גבי חיבור מאובטח ומוצפן.

Certificate based

יישום מאובטח יותר מיישום בתצורה של Basic. בחיבור מסוג זה אנו מבצעים הזדהות עם תעודה דיגיטלית ושם משתמש וסיסמא. במצב כזה אנו אוכפים מדיניות יותר חזקה של אוטנטיקציה על גבי המשתמש.

כאשר מיישמים בפועל מה שקורה הוא המפתח הפרטי מותקן על גבי המכשיר והמפתח הציבורי מוגדר על השרת, חשוב לדעת שישנם מכשירים לרוב הפחות מתקדמים שאינם תומכים ביישום מסוג זה.

כאשר בוחרים בהזדהות מסוג זה ועל גבי שרת הדואר ואנו מחייבים בתעודה דגיטלית (require certificate) רק משתמשים עם מכשירים אשר עונים לדרישות הבאות יכולים להתחבר:

מכשיר עם תעודה אישית שהוגדרה מול המשתמש.

מכשיר שמוגדר במצג Trusted מול התעודה הראשית (root).

ישנם מספר דרכים ליישם חיבור מסוג זה, כאשר בכל ארגון שבו ישנם מכשירים שונים היישום הופך למורכב יותר.

אימות כפול (two-factor)

יישום שמורכב יותר מקודמיו ולמעשה הזדהות מאד חזקה כאשר המשתמש נדרש בכל פעם לעבוד עם שם משתמש, סיסמא וסיסמא נוספת שמתחלפת בכל כניסה למערכת. הסיסמא השלישית אשר מתבצעת מול שרת אוטנטיקציה יכולה להיעשות בכמה תצורות החל ממכשיר פיסי שיש למשתמש ועד ל-SMS ששולחים מאותו מכשיר נייד מורשה אשר מחזיר תשובה עם סיסמא שלישית. בצד השרתים אני צריך שרת נוסף לאוטנטיקציה שמבצע הזדהות מול משתמשים עם מכשירים חכמים.

 

במאמר הבא נראה כיצד ניתן להגדיר הזדהות בתצורה של Certificate Based מול שרת בגרסת Exchange 2013.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *