Những tính năng bảo mật của OWA (P.3)

Quản trị mạng – Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các tính năng bảo mật có trong Outlook Web Access trong Exchange 2007, cụ thể là về OWA authentication và OWA segmentation.

>> Những tính năng bảo mật của OWA (P.1)
>> Những tính năng bảo mật của OWA (P.2)

Trong hai phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về các phương pháp thẩm định có trong OWA 2007. Phần ba của loạt bài này sẽ bắt đầu bằng cách hoàn thiện chủ đề thẩm định qua việc giới thiệu những điểm chính về phương pháp thẩm định nào nên được sử dụng. Khi hoàn thiện xong vấn đề này, chúng tôi sẽ giới thiệu cho các bạn sang một vấn đề mới, đó là tính năng OWA segmentation.

Thẩm định OWA (OWA Authentication) – Phương pháp nào?

Câu hỏi đặt ra là nên sử dụng cơ chế thẩm định biểu mẫu hay sự thẩm định chuẩn cho cơ sở hạ tầng và các yêu cầu của bạn. Cho ví dụ, ISA Server 2006 được trang bị cơ chế thẩm định biểu mẫu và có thể được kích hoạt nếu cần. Nếu tổ chức Exchange 2007 bên trong của bạn được bảo vệ bởi ISA Server 2006, bạn có thể thực thi cơ chế thẩm định Windows tích hợp (Integrated Windows) trên Client Access Server thay cho thẩm định dựa trên biểu mẫu để tránh việc người dùng sẽ thấy hai biểu mẫu, một cho ISA Server và một cho Client Access Server. Khi cơ chế thẩm định biểu mẫu được cấu hình trên ISA Server và cơ chế thẩm định Integrated Windows được cấu hình trên Client Access Server, người dùng sẽ chỉ thấy biểu mẫu một lần. Khi người dùng nhập các thông tin tài khoản của họ vào biểu mẫu và được thẩm định bởi ISA Server, kết nối đến Client Access Server, và OWA, được thiết lập tự động thông qua thẩm định Integrated Windows.

Chủ đề về các trải nghiệm người dùng cũng cần phải được chú ý ở đây. Cho ví dụ, người dùng đang kết nối bên ngoài vào OWA sẽ thấy màn hình thẩm định theo biểu mẫu của ISA Server, còn kết nối bên trong thì họ sẽ được đăng nhập hoàn toàn tự động thông qua thẩm định Integrated Windows. Một số tổ chức đã lựa chọn hình thức triển khai bổ sung các Client Access Server bên trong, hoặc thậm chí bổ sung các ISA Server và cấu hình thẩm định theo biểu mẫu cho chúng để bảo đảm một trải nghiệm nhất quán khi người dùng kết nối đến OWA bên trong hoặc ngoài.

Thêm vào đó, cũng phải xem xét đến các yêu cầu trong kỹ thuật Client Access Server quan trọng khác, chẳng hạn như ủy nhiệm CAS-to-CAS. Lấy một kịch bản ví dụ nơi một người dùng nào đó kết nối thông qua OWA đến một Client Access Server nằm trong một site Active Directory khác với site Active Directory có mailbox server đang hosting mailbox của người dùng đó. Trong trường hợp này, Client Access Server mà người dùng kết nối đến có thể định vị Client Access Server nằm trong cùng site Active Directory với máy chủ mailbox server của người dùng và có thể ủy nhiệm (proxy) yêu cầu người dùng đến Client Access Server đó. Yêu cầu ủy nhiệm này được biết đến như ủy nhiệm CAS-to-CAS. Mặc dù vậy, để quá trình này làm việc, Client Access Server trong cùng Active Directory site với mailbox của người dùng phải được thiết lập thẩm định Integrated Windows trên thư mục ảo đang được truy cập.

Khi xem xét lựa chọn giữa hai phương pháp thẩm định chuẩn khác nhau, một trong những vấn đề quan tâm chính là rằng các dữ liệu quan trọng được cach có thể gây ra rủi ro bảo mật cho tổ chức nếu OWA được sử dụng từ các nơi công cộng hay không. Đây chính là một mối quan tâm nếu người dùng không đóng trình duyệt sau khi truy cập OWA; nếu trình duyệt không được đóng hoàn toàn, sẽ có rủi ro khi người dùng khác có thể truy cập OWA session vì các chứng chỉ đăng nhập vẫn được lưu bên trong trình duyệt.

Cần phải có thời gian để nghiên cứu các yêu cầu thẩm định trước khi chọn ra yêu cầu nào phù hợp nhất, đặc biệt khi sử dụng các sản phẩm bảo mật chẳng hạn như ISA Server 2006.

OWA Segmentation

OWA segmentation là một tính năng khác có trong một số phiên bản trước đây của Exchange chứ không phải là một tính năng nào đó mới trong Exchange 2007. Về bản chất, OWA segmentation là một tính năng cho phép bạn có thể khóa truy cập của một số người dùng nào đó đối với một số tính năng cụ thể của OWA. Cho ví dụ, giả sử bạn đang thực hiện quá độ môi trường Exchange 2003 của mình lên Exchange 2007 và quyết định chuyển các thông tin thư mục công của mình sang Microsoft SharePoint. Nếu bạn đã triển khai máy khách Outlook 2007 thì không cần thiết phải sử dụng đến các thư mục công bên trong môi trường và vì vậy bạn có thể khóa truy cập vào thư mục này từ bên trong OWA. Hình 9 và 10 thể hiện cho bạn thấy sự khác nhau giữa một máy khách OWA khi kích hoạt thư mục công và một máy khách OWA có thư mục công đã được vô hiệu hóa thông qua sự OWA Segmentation. Như những gì bạn thấy trong hình 10, nút Public Folder bị mất hoàn toàn.

Hình 10: Public Folders bị vô hiệu hóa trong OWA thông qua OWA Segmentation

Hoặc, có lẽ bạn chưa triển khai các thiết bị Exchange ActiveSync hoặc role Unified Messaging server bên trong tổ chức mình. Khi đó việc vô hiệu hóa các tính năng này là một việc làm quan trọng để các tùy chọn không xuất hiện trong Outlook Web Access. Bất cứ mục cấu hình nào có thể đơn giản hóa trải nghiệm người dùng và có thể giảm được các cuộc gọi cần đến sự trợ giúp từ nhóm quản trị CNTT đều là một thứ tốt.

Có thể cấu hình OWA segmentation cho một dải các tính năng. Danh sách này gồm có, ActiveSync integration, address lists, calendar, contacts, journal, junk email, reminders and notifications, notes, premium client, search folders, email signature, spelling checker, tasks, theme selection, unified messaging integration, change password, rules, public folders, S/MIME và deleted item recovery.

Bạn có thể điều khiển OWA segmentation cho toàn bộ một thư mục ảo hóa nào đó trên cơ sở của Client Access Server hoặc trên người dùng. Trước tiên chúng ta hãy đi xem xét sự điều khiển cho toàn bộ thư mục ảo, bắt đầu với Exchange Management Console. Để truy cập vào phần cho phép bạn điều khiển sự Segmentation, hãy triệu gọi trang thuộc tính (properties) của thư mục ảo /owa và kích tab Segmentation. Hình 11 thể hiện nội dung của tab này.

Hình 11: Tab Segmentation

Như những gì bạn thấy trong hình 11, rất dễ dàng để có thể hiểu cách kích hoạt hoặc vô hiệu hóa một tính năng nào đó ở đây; bạn chỉ phải chọn tính năng nào và kích nút enable hoặc disable.

Lưu ý: Bạn chỉ có thể cấu hình Segmentation trên thư mục ảo /owa.

Để sử dụng Exchange Management Shell cho việc cấu hình Segmentation, bạn có thể sử dụng lệnh Set-OwaVirtualDirectory. Cho ví dụ, nếu muốn triệu gọi trang thuộc tính của thư mục ảo /owa trên máy chủ CCR-SRV1, bạn chỉ cần nhập lệnh dưới đây:

Get-OwaVirtualDirectory ‘CCR-SRV1\owa (Default Web Site)’

Lệnh này sẽ trả về cho các nhiều tham số. Hình 12 hiển thị một số tham số đầu ra của lệnh này, ở đây bạn có thể thấy trạng thái của mỗi một giá trị Segmentation.

Hình 12: Đầu ra của lệnh Get-OwaVirtualDirectory

Như được đề cập vắn tắt ở trên, bạn hoàn toàn có thể cấu hình OWA Segmentation theo cơ sở người dùng. Để thực hiện điều đó, hãy sử dụng lệnh Set-CASMailbox. Cho ví dụ, hãy giả định rằng chúng ta muốn vô hiệu hóa tính năng Tasks cho một người dùng nào đó mà họ có bí danh mailbox là neil. Khi đó chúng ta có thể sử dụng lệnh dưới đây để đạt được mục đích của mình:

Set-CASMailbox –Identity neil –OWATasksEnabled:$false

Tiếp đó bạn có thể sử dụng lệnh Get-CASMailbox để thẩm định rằng thiết lập đã được thực hiện. Thêm vào đó cũng lưu ý rằng thiết lập theo người dùng sẽ ghi đè mọi thiết lập được tạo trên thư mục ảo.

Kết luận

Trong phần ba của loạt bài này, chúng tôi đã giới thiệu cho các bạn được một số lĩnh vực khá quan trọng cần phải cân nhắc khi chọn các phương pháp thẩm định, tiếp đó là giới thiệu về tính năng OWA segmentation. OWA segmentation thường bị bỏ xót khi cấu hình Exchange 2007 nhưng nó đáng ghi nhớ cho việc cấu hình giúp người dùng có được cảm nhận nhất quán khi sử dụng Outlook so với OWA.