Sichere OMA/OWA Veröffentlichung

[utix 10]

Guten Abend zusammen.

 

Ich habe mal ein paar Fragen zu OMA / OWA:

 

Wir bereiten gerade einige Tests vor, welche darauf zielen Outlook-Web-Access und Outlook-Mobile-Access möglichst sicher zu veröffentlichen. Dabei ist meine Überlegung folgende:

 

Der ISA 2006 Server veröffentlicht den Frontend Exchange Server für das Internet. Auf dem ISA Server ist in dem SSL Listener die SSL Clientauthentifizierung aktiviert. D.h. ohne Zertifikat von der CA geht erstmal gar nichts.

 

Die Formularbasierte Authentifizierung wollen wir nicht einfach freischalten, weil dann ja jeder der das Passwort und den Benutzernamen hat sich einloggen kann.

 

Problem:

 

Für die SSL Client Authentifikation muss aber soweit ich bis jetzt weiß der ISA Server Mitglied der Domäne sein, welches für mich total sinnlos erscheint, da er eigentlich doch nur die Zertifikatsperrlisten herunterladen soll und das Zertifkat auf Gültigkeit prüft. Er braucht aber wohl das AD im die User anhand der Zertifikats zu authentifizieren.

 

Frage:

 

Kann ich diese Lösung auch hin bekommen, dass der ISA nicht Mitglied der Domäne ist? Er soll nämlich relativ isoliert in der DMZ stehen.

 

Ich freue mich auf euere Antworten.

 

Gruß Utix

[grizzly999 11]

Wieso soll der ISA nicht Mitglied einer Domäne sein? Das ist so empfohlen (z.B. von Thoma Shinder und Steve Riley), siehe auch hier: Debunking the Myth that the ISA Firewall Should Not be a Domain Member

 

Das mit der Zertifikatsauthentifizierung geht über das AD, weil- anders als bei einem Zertifikat für IPSec - der Client über das Zertifikat im GC im AD gesucht und hoffentlich gefunden wird. Dazu muss der Client im AD auch das Zertifikat hinterlegt haben. Das geht aber nur im AD, nicht mit lokalen Usern.

Und es geht ja dabei nicht nur darum, dass der Client halt ein Zertifikat hat, sondern, dass ein Userkonto in einer Benutzerdatenbank damit in Verbindung gebracht und authentifiziert werden ;)

 

 

grizzly999