我想了解通过要求计算机或用户出示客户端证书(在登录会话之前)来限制从 Internet 到 Exchange 的访问(Outlook 中的 RPC over HTTPS)的可能性。Exchange 2010 可以做到这一点吗?
我看过很多关于 Active Sync 部分的文档(其中这是可能的),但我只记得曾经看到过一份关于使用 RPC 通过 HTTPS 进行客户端证书认证的技术文档(坦率地说,我不确定我是否看到过它,因为尽管反复搜索,我还是找不到它)。
或者:是否可以请求 NTLM 令牌作为唯一的身份验证机制(该机制只能从域控制器获得,从而拒绝域外的机器)?
答案1
您绝对可以使用 NTLM 身份验证,特别是当您只有使用其域凭据(甚至是缓存凭据)登录其工作站的用户连接时。
NTLM 身份验证:如果选择此身份验证类型,Exchange 不会提示用户输入用户名和密码。客户端计算机上的当前 Windows 用户信息由浏览器通过与 Web 服务器进行哈希加密交换提供。如果身份验证交换最初无法识别用户,浏览器将提示用户输入 Windows 用户帐户用户名和密码。因此,当 Outlook 尝试连接到 Exchange 时,如果计算机已加入域,则无需提供密码。
据我所知,您不能使用客户端证书。我认为 Outlook 没有传递证书的方法。如果您查看身份验证方法,唯一接近此方法的方法是使用智能卡的双因素身份验证。
链接: