Como configurar o Outlook Web Access para usar um cartão inteligente

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2008-03-19

Este tópico explica como usar o Console de Gerenciamento ou o Shell de Gerenciamento do Exchange e o Gerenciador de Serviços de Informações da Internet para configurar o Microsoft Office Outlook Web Access para usar cartões inteligentes para autenticação do usuário.

Cartões inteligentes são uma forma inviolável e portátil para ajudar a fornecer soluções de segurança para tarefas como autenticação de cliente, assinatura de código e proteção de email.

Os cartões inteligentes fornecem as seguintes capacidades:

• Armazenamento inviolável para proteger chaves privadas e outras formas de informações pessoais.

• Isolamento de computações de segurança crítica envolvidas em autenticação, assinaturas digitais e trocas de chave de outras partes do computador que não exigem estes dados. Todas essas operações são realizadas no cartão inteligente.

• Portabilidade de credenciais e outras informações privadas entre computadores do trabalho, de casa ou durante viagens.

Antes de começar

A autenticação do cartão inteligente exige criptografia SSL (Secure Sockets Layer). Por padrão, o Outlook Web Access usa SSL. Se tiver configurado o Outlook Web Access para não exigir SSL e desejar que os usuários possam usar cartões inteligentes, você deverá reconfigurar o Outlook Web Access para exigir SSL. Consulte Como configurar diretórios virtuais do Outlook Web Access para usar SSL.

Você também precisará adquirir e configurar um certificado de uma autoridade de certificação (CA). Consulte os recursos a seguir para obter informações sobre como implementar e gerenciar cartões inteligentes:

• A primeira etapa é adquirir e configurar um certificado de uma CA. Para obter informações sobre como adquirir e configurar um certificado de uma CA, consulte Secure Access Using Smart Cards Planning Guide.

• Para obter uma visão geral sobre os requisitos para utilização de cartões inteligentes, consulte Chapter 4 - Using Smart Cards to Help Secure Remote Access Accounts.

• Para acessar links contendo informações sobre como utilizar e administrar cartões inteligentes, consulte Smart Card How To.

• Talvez seja necessário atualizar os clientes para que eles possam usar cartões inteligentes. Para obter informações detalhadas sobre como conseguir isso, consulte Description of the software update for Base Smart Card Cryptographic Service Provider.

Os cartões inteligentes oferecem um tipo especial de autenticação de certificado. Após verificar se o servidor de Acesso pra Cliente está configurado para exigir SSL, e adquirir e configurar um certificado de uma CA, você deverá configurar o servidor de Acesso para Cliente para usar autenticação de certificado.

Para executar os procedimentos a seguir, você deverá usar uma conta à qual esteja delegada a função Administrador do Exchange Server e a associação no grupo Administradores local do servidor de destino.

Para obter mais informações sobre permissões, a delegação de funções e os direitos necessários para administrar o Exchange Server 2007, consulte Considerações sobre permissões (página em inglês).

Procedimento

Para usar o Gerenciador do IIS 6.0 para configurar os diretórios virtuais do Outlook Web Access para usar autenticação de certificado

1. No Gerenciador do IIS, clique com o botão direito em Sites da Web e clique em Propriedades.

2. Na guia Segurança de Diretório, verifique se a caixa de seleção Habilitar o mapeador do serviço de diretório do Windows está marcada.

3. Clique em OK para fechar Propriedades de Sites da Web.

4. Expanda o site da Web onde ficam hospedados os diretórios virtuais do Outlook Web Access. Normalmente, este site é o Site Padrão. Clique com o botão direito no diretório virtual do Outlook Web Access que você deseja configurar para usar autenticação de certificado e, em seguida, clique em Propriedades.

5. Na guia Segurança de Diretório, em Comunicações Seguras, clique em Editar.

6. Na seção Comunicações Seguras, selecione Exigir Canal Seguro (SSL), se esta opção ainda não estiver selecionada.

   Dica

   Se estiver usando um certificado SSL criado durante a instalação do Microsoft Exchange, uma mensagem de erro será exibida para notificá-lo de que o certificado não é confiável. Verifique se você confia na autoridade de certificação (CA) que emitiu o certificado ou use um certificado SSL que tenha sido emitido por sua CA de confiança.

7. Na seção Certificados de Cliente, selecione Exigir Certificados de Cliente.

8. Selecione Habilitar mapeamento de certificação de cliente.

9. Clique em OK para salvar suas alterações.

Após configurar o Gerenciador do IIS para usar autenticação de certificado, você deverá desabilitar todos os métodos de autenticação nos diretórios virtuais do Outlook Web Access no Exchange. Para isso, use o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange.

Para usar o Console de Gerenciamento do Exchange para configurar o Outlook Web Access para não ter nenhum método de autenticação

1. No Console de Gerenciamento do Exchange, clique em Configuração do Servidor e clique em Acesso para Cliente.

   Dica

   Para permitir que o Outlook Web Access aceite acessos anônimos, você deverá desabilitar todas as formas de autenticação.

2. Na guia Outlook Web Access, abra as propriedades do diretório virtual que você deseja configurar para usar acesso anônimo.

3. Clique na guia Autenticação.

4. Selecione Usar um ou mais métodos de autenticação padrão.

5. Não selecione um método de autenticação. Se algum método de autenticação estiver marcado, clique na caixa de seleção para desmarcá-lo.

6. Clique em OK.

7. Você receberá um aviso de que não selecionou um método de autenticação e que o direciona para usar o Shell de Gerenciamento do Exchange para definir um método de autenticação. Clique em OK para fechar o aviso.

8. Reinicie o IIS, abrindo a janela Prompt de comando e digitando o comando iisreset/noforce.

Para usar o Shell de Gerenciamento do Exchange para configurar o Outlook Web Access para não ter nenhum método de autenticação

1. Abra o Shell de Gerenciamento do Exchange no servidor de Acesso para Cliente que está hospedando os diretórios virtuais do Outlook Web Access que você precisa configurar.

   Dica

   Para permitir que o Outlook Web Access aceite acessos anônimos, você deverá desabilitar todas as formas de autenticação.

2. Para desabilitar a autenticação baseada em formulários no diretório virtual /owa e no site chamado Site Padrão, execute o seguinte comando.

   Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
   

3. Para desabilitar todos os formulários de autenticação padrão no diretório virtual /owa e no site chamado Site Padrão, execute o seguinte comando.

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
   

4. Quando o último método de autenticação ativo tiver sido desabilitado, você receberá um aviso de que nenhum método de autenticação foi especificado e será orientado a utilizar o cmdlet Set-OwaVirtualDirectory para especificar um método de autenticação. Ignore este aviso.

5. Reinicie o IIS, abrindo a janela Prompt de comando e digitando o comando iisreset/noforce.

Para obter mais informações sobre sintaxes e parâmetros, consulte Set-OwaVirtualDirectory.

Para obter mais informações

Para obter mais informações sobre métodos de autenticação para Outlook Web Access, consulte Gerenciando a segurança do Outlook Web Access.