exchange it!

АНДРЕЙ СЕМЕНЮЧЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-008-3

- каким пользователям разрешен доступ к серверу через веб-браузер;

- какие разрешить методы аутентификации;

- какие общие папки будут доступны пользователям.

Настраивается это довольно просто - в Exchange System Manager, который запускается из консоли администрирования (MMC).

Со стороны пользователей OWA различают 2 вида аутентификации: явную и сквозную. Как следует из названия, явная аутентификация требует ввода учетной записи пользователя и имя нужного Exchange-сервера в строке запроса веб-браузера. Таким образом, URL может выглядеть следующим образом: https://mycorp.com/exchange2/VasyaPupkin/. Косвенная аутентификация более удобна для пользователей, поскольку не требует ввода ни учетных данных, ни даже имени сервера, ведь запрос сначала попадает на внешний сервер, и тот уже заботится о попадании заявки в нужные инстанции. Но при этом нужно учитывать возможность снижения производительности из-за дополнительной аутентификации на внешнем сервере.

С точки зрения внутренней корпоративной IT-инфраструктуры различают сквозную и двойную аутентификации. В первом случае внешний сервер просто пересылает запрос внутреннему серверу для аутентификации. Во втором опознание пользователя производится как на внешнем, так и на внутреннем серверах. Этот способ более надежен.

Таким образом, при сочетании сквозной аутентификации пользователей с двойной внутренней аутентификацией достигается максимальная надежность и простота вводимого запроса.

OUTLOOK WEB ACCESS ЯВЛЯЕТСЯ ЧАСТЬЮ УСТАНОВКИ ПО УМОЛЧАНИЮ EXCHANGE-СЕРВЕРА. ОДНАКО OWA ТРЕБУЕТ ПРЕДУСТАНОВЛЕННЫХ WINDOWS 2000 И IIS

[организуем VPN.] Для обеспечения еще большей надежности и шифрования передаваемого трафика часто применяется туннелирование. В этом случае сначала устанавливается защищенное соединение с конечным сервером предприятия, а уже после этого пользователь может вводить URL почтового сервера в окно браузера. Самым безопасным способом является вариант с использованием сертификатов, размещенных на смарт-картах, когда клиенту даже нет необходимости вводить пароль к его учетной записи. Создание туннеля обеспечивается штатными средствами Windows Server с использованием протоколов PPTP/L2TP.

Для настройки VPN сервера сперва необходимо поднять Routing And Remote Access сервис. В Windows Server 2003 это делается с помощью утилиты Manage Your Server путем присвоения соответствующей роли серверу: выбираем пункт «Add or Remove Role», затем выбираем «Remote Access/VPN Server», жмем «Next», опять отмечаем галкой «VPN Server» и, снова нажав «Next», проходим до конца. Далее нужно выбрать протоколы аутентификации/шифрования данных. Это можно сделать при настройке политики удаленного доступа, запустив New Remote Access Policy. По умолчанию в качестве протокола аутентификации используется MS-CHAP v.2, но его можно изменить и при желании использовать, например, EAP-TLS для аутентификации основанной на сертификатах. При использовании шифрования передаваемых данных на протоколах L2TP поверх IPSec в соединениях VPN, на VPN сервере, также как и на клиентском компьютере, должен быть установлен цифровой сертификат.