Những tính năng bảo mật của OWA (P.2)

Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí
mạng của Client Access Server và phương pháp Exchange 2007
sử dụng giấy phép để bảo mật Outlook Web Access (OWA).
Trong phần hai này chúng ta sẽ chúng ta sẽ đi sâu tìm hiểu các
phương pháp xác thực OWA khác nhau và một số chú ý khi lựa chọn một phương pháp phù hợp.

Thẩm định quyền trong OWA – Forms-based Authentication

Trong Exchange 2007, chúng ta có thể lựa chọn giữa phương pháp Forms-based Authentication
(FBA - thẩm định quyền nền tảng Form) và một nhóm phương pháp xác thực khác theo các
phương pháp thẩm định chuẩn. Một cải tiến bảo mật khác trong Exchange 2007 là FBA được
mặc định sử dụng cho OWA, sau đây chúng ta sẽ khám phá phương pháp này sau đó trở lại với
những phương pháp thẩm định chuẩn. Để xem các phương pháp thẩm định quyền chúng ta cần
mở hộp thoại thuộc tính Properties của thư mục ảo /owa trong Exchange Management
Console rồi chọn tab Authentication. Khi đó chúng ta sẽ thấy một hộp thoại xuất hiện như trong
hình 1. Hình 1: Các phương pháp xác thực.

FBA lần đầu tiên được giới thiệu trong Exchange 2003 và cho phép hiển thị một trang đăng nhập
ngoài thông báo xác thực cơ bản chỉ yêu cầu nhập tên người dùng và mật khẩu. Trang đăng nhập
này làm tăng khả năng bảo mật vì tên và mật khẩu đăng nhập của người dùng được lưu như một
cookie thay vì lưu ngay trong OWA. Có hai lợi ích chính từ việc xác thực qua cookie. Thứ nhất,
cookie này sẽ được xóa khi phiên OWA kết thúc, thứ hai, cookie này cũng sẽ được xóa sau một
khoảng thời gian không thao tác được khai báo trước, như khi người dùng tạm thời rời khỏi bàn

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeOWA
Name: PrivateTimeout
Type: DWORD
Value: {number of minutes}
Cần nhớ rằng với những thời hạ
n này không phải là con số chính xác và sẽ có một dung sai nhất
định trên các giá trị được sử dụng. Microsoft cho biết thời hạn thực sẽ dao động trong khoảng 1
đến 1.5 lần giá trị cài đặt do phương pháp mà Client Access Server quay vòng qua các key mã
hóa. Do đó chúng ta cần phải lưu ý điều này khi kiểm thử thời hạn trong OWA. Ngoài ra, nếu sử
dụng ISA Server để kết nối OWA ngoài, thì chúng ta cần cài đặt những giá trị thời hạn tương tự
trong ISA Server cho phù hợp với người dùng.

Trong hình 2, chúng ta thấy màn hình FBA đang mở. Trên màn hình này người dùng phải cung
cấp thông tin đăng nhập trong định dạng domain\username (cài đặt mặc định). Chúng ta có thể
thay đổi thông báo đăng nhập để chỉ yêu cầu nhập tên người dùng, hay User Principal Name
(UPN – Tên thật của người dùng). Tuy nhiên trước khi thực hiện điều này chúng ta cần tính đến
các vấn đề bảo mật.

Nếu muốn thay đổi thông báo đăng nhập chỉ yêu cầu tên người dùng, thì chúng ta có thể thực
hiện qua Exchange Management Console hay Exchange Management Shell. Trong Exchange
Management Console, mở hộp thoại thuộc tính Properties của thư mục ảo /owa rồi chọn tab
Authentication (hình 1). Tại đây chúng ta có thể lựa chọn kiểu thẩm định quyền FBA phù hợp
với yêu cầu. Trong Exchange Management Shell, chúng ta có thể sử dụng lệnh Set-
OwaVirtualDirectory với tham số LogonFormat. Những tùy chọn của tham số LogonFormat
gồm:
• FullName: Giống với tùy chọn domain\username trong hình , do đó người dùng phải
nhập cả tên miền và tên người dùng khi đăng nhập vào OWA.

• PrincipalName: Tham số này phù hợp với tùy chọn UPN trong hình 1 và nó yêu cầu
người dùng nhập UPN để thẩm định quyền.

tục thẩm định khác nhau tùy thuộc vào người dùng đó truy cập nội bộ hay truy cập ngoài có thể
gây phiền phức cho người dùng. Do đó, có một số công ty triển khai FBA trên các Client Access
Server riêng biệt chỉ thực hiện hỗ trợ cho các phiên OWA nội bộ.

Digest Authentication cũng được sử dụng bởi người dùng có tài khoản trên miền Active
Directory. Với Digest Authentication, khả năng bảo mật được tăng cường do các mật khẩu mà
người dùng nhập vào được gửi như một giá trị Hash khi chúng được gửi qua mạng tới máy chủ
thẩm định. Tuy nhiên, lưu ý rằng khi sử dụng Digest Authentication thì những thông tin thẩm
định của người dùng sẽ lưu lại trên bộ nhớ tạm của OWA. Do đó chúng ta cần xem xét sử dụng
FBA trong trường hợp có vấn đề bảo mật phát sinh.

Kết luận
Trong phần này chúng ta đã tìm hiểu các phương pháp thẩm định hiện có và đi sâu tìm hiểu các
tùy chọn cấu hình của Forms-Based Authentication (FBA).
