2
PDA an ISA 2006 per Clientzertifikat Authentifizieren
Hallo Kollegen,
seit ca. 2 Jahren ist bei uns im Unternehmen ein ISA 2006 im Einsatz. Dieser dient dazu um die Synchronisation der Mails (Activ Sync) an den internen Mails Server weiterzuleiten. Hierbei wurden auf dem PDA Cient-Zertifikate installiert.
Jetzt musste ich feststellen das auch wenn kein Client-Zertifikat am PDA vorhanden ist eine Verbindung über die am PDA eingerichtet Active Sync Kommunikation und Active Directory Kennung möglich ist.
Meines erachtens müsste eine Kommunikation bei einer Clientauthentifizierung folgendermaßen von Statten gehen.
1. bei Verbindung mit der veröffentlichen Website (https) wird das Clientzertifikat des PDA mit dem am ISA Server vorhandenen Vertauenswürdigen Stammzertifikat verglichen, geprüft (stammt dies aus einer vertrauenswürdigen CA)
2 ist dies der Fall wird die anhand der am PDA und in Active Sync eingetragene AD Kennung geprüft.
3. ist dies ok sollte einer Syncronisierung nichts mehr im Wege stehen.
Ist das so richtig ????
Bei uns ist der Fall das eine Authentifizierung nur mittels AD Kennung durchgeführt wird.
Ich habe festgestellt das unter Authentifizierung -->erweiterter Authentifizierung im Weblistener--> ssl-clientzertifikat anfordern (deaktiviert ist)
Ist dies eventuell der Grund.
Ich hoffe auf kleine Hinweise wo ich noch Einstellungen prüfen kann um meine Anforderung umzusetzen.
Nachfolgend ein paar Screens.
Vielen Dank für euere Unterstützung
Gruß Martin
seit ca. 2 Jahren ist bei uns im Unternehmen ein ISA 2006 im Einsatz. Dieser dient dazu um die Synchronisation der Mails (Activ Sync) an den internen Mails Server weiterzuleiten. Hierbei wurden auf dem PDA Cient-Zertifikate installiert.
Jetzt musste ich feststellen das auch wenn kein Client-Zertifikat am PDA vorhanden ist eine Verbindung über die am PDA eingerichtet Active Sync Kommunikation und Active Directory Kennung möglich ist.
Meines erachtens müsste eine Kommunikation bei einer Clientauthentifizierung folgendermaßen von Statten gehen.
1. bei Verbindung mit der veröffentlichen Website (https) wird das Clientzertifikat des PDA mit dem am ISA Server vorhandenen Vertauenswürdigen Stammzertifikat verglichen, geprüft (stammt dies aus einer vertrauenswürdigen CA)
2 ist dies der Fall wird die anhand der am PDA und in Active Sync eingetragene AD Kennung geprüft.
3. ist dies ok sollte einer Syncronisierung nichts mehr im Wege stehen.
Ist das so richtig ????
Bei uns ist der Fall das eine Authentifizierung nur mittels AD Kennung durchgeführt wird.
Ich habe festgestellt das unter Authentifizierung -->erweiterter Authentifizierung im Weblistener--> ssl-clientzertifikat anfordern (deaktiviert ist)
Ist dies eventuell der Grund.
Ich hoffe auf kleine Hinweise wo ich noch Einstellungen prüfen kann um meine Anforderung umzusetzen.
Nachfolgend ein paar Screens.
Vielen Dank für euere Unterstützung
Gruß Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167062
Url: https://administrator.de/contentid/167062
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Guten Morgen Martin,
ich hatte diese Woche im Büro, eine ähnliche Angelegenheit allerdings ist bei uns das Zertifikat abgelaufen, musste es erneuern, also sind die Erinnerungen noch "frisch"
Meine erste Frag, welche PDA bzw. welches Mobile Betriebystem setzt ihr ein, windows mobile, android, ios, windows phone 7 ? Gerade Android und IOS verhalten sich bei dem Thema Zertifikat ein bisschen anders als die Windows Geräte.
Letzendlich starte der PDA einen Synchronisationsvorgang, frägt den server (ISA) per https ab , diese lässt dich dann richtung mail server und hier beginnt dann die eigentliche Authenfikation.
Was für ein Zertifikat, installierst du denn auf den Smartphones, das root zertifikat der CA?
Der Server steht ja sicherlich in einer DMZ, kannst du denn nicht per FW sehn ober er per https oder per http ins LAN vom ISA geht?
ich hatte diese Woche im Büro, eine ähnliche Angelegenheit allerdings ist bei uns das Zertifikat abgelaufen, musste es erneuern, also sind die Erinnerungen noch "frisch"
Meine erste Frag, welche PDA bzw. welches Mobile Betriebystem setzt ihr ein, windows mobile, android, ios, windows phone 7 ? Gerade Android und IOS verhalten sich bei dem Thema Zertifikat ein bisschen anders als die Windows Geräte.
Letzendlich starte der PDA einen Synchronisationsvorgang, frägt den server (ISA) per https ab , diese lässt dich dann richtung mail server und hier beginnt dann die eigentliche Authenfikation.
Was für ein Zertifikat, installierst du denn auf den Smartphones, das root zertifikat der CA?
Der Server steht ja sicherlich in einer DMZ, kannst du denn nicht per FW sehn ober er per https oder per http ins LAN vom ISA geht?
Hallo
das Betreeibsystem des PDA ist Windows Mobile 6. Auf dem PDA ist das Clientzertifikat installiert.
Ist es nicht so das der ISA die anfrage vom PDA ablehnen muss wenn dieser nicht mit einem Clientzertifikat ankommt ?
Und erst dann wenn der PDA sich mit dem Clientzertifikat am ISa Authentifiziert hat, das durchreichen der Active directory anmeldedaten überprüft werden und dann der Sync zum Exchange funktioniert.
Problem ist das eben smatphones auch ohne clientzertifikat (nur mit active directory anmeldedate eine Verbindung mit dem Exchange aufbauen können.
Wo muss ich die konfiguration des ISA bzw. Exchange noch prüfen ?
Vielen Dank
das Betreeibsystem des PDA ist Windows Mobile 6. Auf dem PDA ist das Clientzertifikat installiert.
Ist es nicht so das der ISA die anfrage vom PDA ablehnen muss wenn dieser nicht mit einem Clientzertifikat ankommt ?
Und erst dann wenn der PDA sich mit dem Clientzertifikat am ISa Authentifiziert hat, das durchreichen der Active directory anmeldedaten überprüft werden und dann der Sync zum Exchange funktioniert.
Problem ist das eben smatphones auch ohne clientzertifikat (nur mit active directory anmeldedate eine Verbindung mit dem Exchange aufbauen können.
Wo muss ich die konfiguration des ISA bzw. Exchange noch prüfen ?
Vielen Dank
