我最近将一个客户端从 Postfix/Dovecot 迁移到了 Exchange 2010。在旧设置下,使用黑莓手机的用户需要输入用户名/密码,然后第三方(即黑莓手机)会“知道”这些用户名/密码。我一直对此感到不舒服,但至少如果密码落入坏人之手,他们只能访问一个电子邮件帐户,而无法访问其他资源。
现在,有权访问我们 RDS 网关的用户还拥有一部黑莓手机,这需要她的域用户名和密码通过第三方之手。这让我比以前更不舒服。
解决这个问题最简单的方法是什么?理想情况下,我希望用户拥有仅适用于 IMAP 的第二个密码。
答案1
安全、“正确”的方法是部署 BES,但对于单个员工来说,这是一大笔钱。
当然还有非技术性的解决方案 - 禁止使用黑莓手机,让她换成支持 ActiveSync 的设备。同样,这对客户来说可能很难接受。
因此,您可能不得不求助于一些丑陋的黑客手段。在 Exchange 2003 时代,在我设法禁止 IMAP 和 POP 之前,我曾经使用过一种黑客手段;不能保证它仍然有效,但它所依赖的核心技巧是 IMAP 协议的一部分,因此值得一试。
首先,为她创建第二个域帐户,并授予其对电子邮件的完全访问权限,但不允许访问其他任何内容。然后让她将黑莓配置为使用 IMAP 登录名“域/用户名/邮箱名”,其中“用户名”是“假”凭据,“邮箱名”是“真实”凭据。
例如,如果她当前的用户名是CONTOSO/sjsmith
,而您创建的新受限帐户是 ,那么她将使用sjsbb 帐户的用户名和密码CONTOSO/sjsbb
登录 IMAP 。CONTOSO/sjsbb/sjsmith
答案2
您的 RDS 网关应仅允许特定用户/组,而不是所有域用户。
如果您按照类似以下说明操作(http://technet.microsoft.com/en-us/library/dd983949(v=ws.10),您可能已授权域用户组。您想在 AD 中为 RDS 用户创建一个新组,仅向该组授予 RDS 访问权限,并仅将需要访问权限的用户放入该组中。
您可以通过创建 AD OU 并指定组策略限制进一步锁定仅电子邮件用户。
为了更好地控制和实现黑莓的功能,Blackberry Express Server 是免费的,并且支持在小型部署中直接在 Exchange 2010 服务器上运行。 http://us.blackberry.com/business/software/besx.html