Я хотел бы понять возможность ограничения доступа из Интернета к Exchange (RPC через HTTPS в Outlook), требуя от машины или пользователя представления сертификата клиента (перед сеансом входа в систему). Возможно ли это вообще с Exchange 2010?
Я видел много документов для части Active Sync (где это возможно), но я просто помню, как однажды видел технический документ для аутентификации сертификата клиента с RPC через HTTPS (и, честно говоря, я не уверен, что видел его, так как я не может найти его снова, несмотря на неоднократные поиски).
В качестве альтернативы: можно ли запросить токен NTLM в качестве единственного механизма аутентификации (который будет доступен только с контроллера домена, таким образом отклоняя машины извне домена)?
Вы определенно можете использовать NTLM auth, особенно если у вас есть только пользователи, которые подключаются к своим рабочим станциям со своими учетными данными домена (даже с кешированными учетными данными).
NTLM аутентификация: Если вы выберете этот тип аутентификации, Exchange не запрашивает у пользователей имя пользователя и пароль. Информация о текущем пользователе Windows на клиентском компьютере предоставляется браузером посредством криптографического обмена, включающего хеширование с веб-сервером. Если аутентификационный обмен изначально не может идентифицировать пользователя, браузер предложит пользователю ввести имя пользователя и пароль учетной записи Windows. Таким образом, когда Outlook пытается подключиться к Exchange, и если машина присоединена к домену, вводить пароль не требуется.
Вы не можете использовать сертификат клиента, о котором я знаю. Я не думаю, что в Outlook есть средства для передачи сертификата. Если вы посмотрите на методы аутентификации, единственное, что близко к этому, - это двухфакторная аутентификация с использованием смарт-карты.
Ссылки:
Настройка проверки подлинности для мобильного Outlook
Настройка проверки подлинности смарт-карты для мобильного Outlook