REF: How to use Smart Cards with OWA & ROH? – Part 2

 

for Exchange 2007 OWA 透過Smart Card 存取, 請參考下列步驟, 不過調整此步驟會影響到預設的IIS 驗證權限, 請先確認下列是否以執行過下列設定, 若要測試請複製IIS Virtual Site 或用非production 的CAS server

1.  智慧卡驗證需要安全通訊端層 (SSL) 加密。根據預設，Outlook OWA 使用 SSL。
2.  使用 IIS 管理員 6.0 設定 Outlook Web Access 虛擬目錄以使用憑證驗證

1. 在 IIS 管理員中的 [網站] 上按一下滑鼠右鍵，然後按一下 [內容]。

2. 在 [目錄安全性] 索引標籤上，確認已選取 [啟用 Windows 目錄服務對應程式] 核取方塊。

3. 按一下 [確定]，關閉 [網站內容]。

4. 展開您用來主控 Outlook Web App 虛擬目錄的網站。這通常是 [預設網站]。在您要設定使用憑證驗證的 Outlook Web App 虛擬目錄上按一下滑鼠右鍵，然後按一下 [內容]。

5. 在 [目錄安全設定] 索引標籤的 [安全通訊] 中，按一下 [編輯]。

6. 在 [安全通訊] 區段中，選取 [需要安全通道 (SSL)] (若尚未選取)。

   附註：

   如果您使用的是 Microsoft Exchange 安裝期間所建立的 SSL 憑證，則會顯示一則錯誤訊息，通知您該憑證不是受信任的憑證。請確定您信任發出憑證的憑證授權單位 (CA) 或使用 CA 所信任的 SSL 憑證。

7. 在 [用戶端憑證] 區段中，選取 [需要用戶端憑證]。

8. 選取 [啟用用戶端憑證對應]。

9. 按一下 [確定] 以儲存變更。

在設定 IIS 管理員使用憑證驗證之後，您必須在 Exchange 中停用 Outlook Web App 虛擬目錄上的所有驗證方法。您可以使用 Exchange 管理主控台或 Exchange 管理命令介面執行此程序。

  使用 Exchange 管理主控台將 Outlook Web Access 設定為沒有驗證方法

1. 在 Exchange 管理主控台中按一下 [伺服器組態]，然後按一下 [用戶端存取]。

   附註：

   若要讓 Outlook Web App 接受匿名存取，則必須停用所有形式的驗證。

2. 在 [Outlook Web Access] 索引標籤上，開啟要設定來使用匿名存取的虛擬目錄內容。

3. 按一下 [驗證] 索引標籤。

4. 選取 [使用一或多個標準驗證方法]。

5. 不要選取驗證方法。如果已選取任何驗證方法，則請按一下核取方塊清除驗證方法。

6. 按一下 [確定]。

7. 您會接收到警告通知您尚未選擇驗證方法，並指示您使用 Exchange 管理命令介面設定驗證方法。請按一下 [確定] 關閉警告。

8. 開啟 [命令提示字元] 視窗，並輸入 iisreset/noforce 命令，重新啟動 IIS。

  使用 Exchange 管理命令介面將 Outlook Web Access 設定為沒有驗證方法

1. 在主控您必須設定之 Outlook Web App 虛擬目錄的 Client Access Server 上，開啟 Exchange 管理命令介面。

   附註：

   若要讓 Outlook Web App 接受匿名存取，則必須停用所有形式的驗證。

2. 若要停用 /owa 虛擬目錄及 Default Web Site 站台上的表單型驗證，請執行下列命令。

   Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false

3. 若要停用 /owa 虛擬目錄及名為「預設的網站」站台上所有形式的標準驗證，請執行下列命令。

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $falseSet-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $falseSet-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false

4. 停用最後一個作用中驗證方法時，會接收到警告通知您未指定虛擬目錄的任何驗證方法，並引導您使用 Set-OwaVirtualDirectory 指令程式指定驗證方法。請略過這個警告。

5. 開啟 [命令提示字元] 視窗，並輸入 iisreset/noforce 命令，重新啟動 IIS。

Blog Extended Reading
1. REF: How to use Smart Cards with OWA & ROH? – Part 1
2. REF: How to use Smart Cards with OWA & ROH? – Part 2

 

More Information & Reference
1. 如何設定 Outlook Web Access 以使用智慧卡 (Exchange 2007)
2. How to use Smart Cards with OWA - But Why?
3. Multi-Factor authentication with Exchange Outlook Anywhere?
4. Two-factor authentication for Outlook Anywhere?
5. 使用智慧卡登入 Outlook Web Access (Exchange 2003)
6. 支援 Outlook Web Access 的智慧卡驗證的 Exchange Server 2003 的新功能的描述
7. Deepnet Unified Authentication
8. OWA 2007 Smartcard Enabled Login (Exchange 2007)
9. How to Configure Certificate Based Authentication for OWA - Part I (Exchange 2007)