Authentifizierung bei RPC over HTTP(S)

[christianBLN 10]

Hallo Leute,

 

Exchange und Outlook 2003 bieten ja die an sich sehr nützliche Möglichkeit RPC over HTTP

zu "tunneln". In meiner Umgebung sieht das ganz so aus, dass ein Apache Webserver als reverse Proxy in der DMZ für alle Web- (OWA) und RPC (Outlook MAPI) Anfragen fungiert.

Dabei verwende ich die Standarauthentifizierung und damit das ganze trotzdem sicher ist SSL zur Verschlüsselung.

 

Jetzt zum Problem.

Bei der Verwendung der Standardauthentifizierung fragt Outlook beim Start jedes Mal nach dem Benutzernamen und den Kennwort. Der Benutzername muss mit Domäne also

nach dem Muster domain.local\user01 angegeben werden. Hätte ich einen ISA könnte ich NTLM verwenden, habe ich aber nicht...

 

Das ganze ist absolut nervig!

 

Gibt es eine Möglichkeit das Passwort doch irgendwie zu speichern?

Kennt jemand ein Tool (vorzugsweise Freeware) um den Dialog automatisch mit dem Benutzernamen/Kennwort zu füllen und zu bestätigen?

 

Viele Grüße und Danke für jeden Hinweis

Christian

[Hirgelzwift 10]

Also bei mir bleibt der Benutzername erhalten wenn ich einmal über den Exchange Proxy, also den OWA Server, mich erfolgreich verbunden habe.Wenn bei dir der Benutzername nicht erhalten bleibt dann musst du mal am OWA nachschaun ob und wo man das evtl einstellen kann. Das Passwort muss ich immer erneut eingeben, aber ich finde das ist auch gut so.

[Velius 10]

In meiner Umgebung sieht das ganz so aus, dass ein Apache Webserver als reverse Proxy in der DMZ für alle Web- (OWA) und RPC (Outlook MAPI) Anfragen fungiert.

 

Da liegt ein Irrtum vor. RPC ist kein Authentifizierungsprotokoll. Dafür werden Protokolle wie NTLM, Kerberos, oder LTPA (IBM Websphere, Lotus Domino) benutzt. Wahrscheinlich versteht dieser reverse Proxy nicht wie man das Kerberos Ticket übergibt.

 

 

Gruss

Velius

[christianBLN 10]

Hi,

 

nein nein, dass RPC nicht zum Authentifizieren ist, dass ist schon klar :cool:

 

Outlook kann sich bei der Verwendung von RPC over HTTP entweder über die Basic Authentification oder per NTLM authentifizieren.

NTLM funktioniert nicht über den reverse Proxy. (Auch ohne ihn möchte ich die entsprechenden Ports für die NTLM Auth. nicht im Internet "freigeben")

 

Bei der Basic Authentification wird der Benutzername und das Passwort im Klartext übermittelt. (Ich glaube er verschlüsselt "nur" Base64) daher ist die Option zum Speichern des Benutzernamens/Passworts aus Sicherheitsgründen nicht vorgesehen.

 

Irgendwie sollte sich das doch jetzt aber umgehen lassen. Vom Standpunkt der Sicherheit spricht aus meiner Sicht nichts dagegen. Passwörter für POP3 Konten können ja schließlich auch gespeichert werden...

 

Ich suche jetzt eine Möglichkeit die Passwortabfrage automatisch beantworten zu lassen.

Ein Tool in der Art von RoboForm wäre hilfreich.

 

Viele Grüße

Christian

[Velius 10]

Passwörter für POP3 Konten können ja schließlich auch gespeichert werden...

 

Die werden aber im Klartext übermittelt. Da ist der NTLM Hash einiges sicherer :wink2:

[Velius 10]

BTW: Es heisst ja HTTPS

 

Der Secure Sockets Layer ist ja schon aktiv auch wenn das Passwort/Tocken noch gar nicht übergeben wurde. Bei normalen HTTPS Seiten mit Benutzeraufforderung ist das auch so.

[christianBLN 10]

Sorry, ich hatte nicht ausreichend betont das ich ja SSL verwende.

Die Session wird mutually authentifiziert.

[Neopolis 19]

Hallochen, also ich habe das gleiche Problem nur das es beim Outlook im Loginfenster ein Kästchen gibt Kennwort speichern. Aber der tut das nicht starte ich Outlook neu muss ich wieder Kennwort eintippen. Bentzer domäne\benutzer staht schon da. ich mach das über NTLM aber es klappt trotzdem nicht.gibt es noch was was ich tun kann???

 

gruß thomas