Configuraciçon de la autenticación para Exchange ActiveSync

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-04-06

La autenticación es el proceso mediante el cual un cliente y un servidor comprueban sus identidades para la transmisión de datos. En Microsoft Exchange Server 2007, la autenticación se usa para determinar si un usuario o cliente que desea comunicarse con el servidor de Exchange es quien es o quien dice que es. Puede usar la autenticación para comprobar que un dispositivo pertenece a un individuo en particular o que este individuo particular está intentando iniciar sesión en Microsoft Office Outlook Web Access.

Al instalar Exchange 2007 y la función del servidor Acceso de cliente, los directorios virtuales se configuran para varios servicios. Estos incluyen Outlook Web Access, el servicio de disponibilidad, la mensajería unificada y Microsoft Exchange ActiveSync. De manera predeterminada, cada directorio virtual se configura para usar un método de autenticación. Para Exchange ActiveSync, el directorio virtual se configura para usar autenticación básica y Nivel de sockets seguros (SSL). Puede cambiar el método de autenticación para su servidor Exchange ActiveSync cambiando el método de autenticación en el directorio virtual de Exchange ActiveSync.

Este tema proporciona una introducción a los métodos de autenticación que están disponibles para su servidor de Exchange ActiveSync. Para Exchange ActiveSync, el cliente es el dispositivo físico que se usa para sincronizarse con el servidor de Exchange 2007.

Selección de un método de autenticación

Existen tres tipos principales de autenticación que puede seleccionar para Exchange ActiveSync: La autenticación básica, la autenticación basada en certificados y la autenticación basada en testigos. Cuando se instala la función del servidor Acceso de cliente en un PC que ejecuta Exchange 2007, Exchange ActiveSync se configura para usar la autenticación básica con el Nivel de sockets seguros (SSL). Para establecer la conexión SSL, la autenticación basada en certificados requiere que el dispositivo móvil tenga un certificado de cliente básico que se creó para la autenticación de usuario instalada. Además, el dispositivo móvil debe tener una copia del certificado de raíz de confianza desde el servidor. Si selecciona la autenticación basada en testigos, deberá trabajar con el proveedor de testigos para la configuración.

Autenticación básica

La autenticación básica es el método más simple de autenticación. Con la autenticación básica, el servidor requiere que el cliente envíe un nombre de cliente y una contraseña. El nombre de usuario y la contraseña se envían en texto sin cifrar mediante Internet al servidor. El servidor comprueba que el nombre de usuario y la contraseña subministrados sean válidos y garantiza acceso al cliente. De manera predeterminada, esté tipo de autenticación se habilita para Exchange ActiveSync. No obstante, le recomendamos que deshabilite la autenticación básica a no ser que también implemente Nivel de sockets seguros (SSL). Cuando use autenticación básica por SSL, el nombre de usuario y la contraseña se continúan enviando en texto sin formato, pero el canal de comunicación se cifra.

Autenticación basada en certificados

La autenticación basada en certificados usa un certificado digital para comprobar una identidad. La autenticación basada en certificados proporciona otras credenciales, además del nombre de usuario y la contraseña, que demuestran la identidad del usuario que intenta tener acceso a los recursos de buzón que se almacenan en el servidor de Exchange 2007. Un certificado digital está formado por dos componentes: la clave privada que se almacena en el dispositivo y la clave pública que está instalada en el servidor. Si configura Exchange 2007 para que requiera autenticación basada en certificados para Exchange ActiveSync, sólo los dispositivos que cumplan con los siguientes criterios se pueden sincronizar con Exchange 2007:

• El dispositivo tiene un certificado de cliente válido instalado que se creó para la autenticación del usuario.

• El dispositivo tiene un certificado de raíz de confianza para el servidor al que se conecta para establecer la conexión SSL.

La implementación de la autenticación basada en certificados evita que los usuarios que sólo tienen un nombre de usuario y una contraseña se sincronicen con Exchange 2007. Como nivel de seguridad adicional, el certificado de cliente para la autenticación sólo se puede instalar cuando un dispositivo está conectado a un PC unido al dominio a través de Desktop ActiveSync 4.5 o una versión posterior en Microsoft Windows XP o en el Centro de dispositivos de Windows Mobile en Microsoft Windows Vista.

Sistemas de autenticación basados en testigos

Un sistema de autenticación basado en testigos es un sistema de autenticación de dos factores. La autenticación de dos factores se basa en una información que conoce el usuario, como su pasaporte, y un dispositivo externo que normalmente está en forma de tarjeta de crédito o de un llavero electrónico que el usuario lleva consigo. Cada dispositivo tiene un número de serie exclusivo. Además de los testigos de hardware, algunos proveedores ofrecen testigos basados en software que se pueden ejecutar en dispositivos móviles.

Los testigos funcionan mostrando un número exclusivo, normalmente de seis dígitos, que cambia cada 60 segundos. Cuando se emite un testigo a un usuario, se sincroniza con el software del servidor. Para autenticar, el usuario escribe su número de usuario, contraseña y el número que se visualiza actualmente en el testigo. Algunos sistemas de autenticación basados en testigos también requieren que el usuario escriba un NIP.

La autenticación basada en testigos es una forma de autenticación eficaz. El inconveniente de la autenticación basada en testigos es que debe instalar software de servidor de autenticación e implementar el software de autenticación en todos los PC o dispositivos móviles del usuario. También existe el riesgo de que el usuario pierda el dispositivo externo. Puede ser costoso debido a la necesidad de sustituir los dispositivos externos extraviados. No obstante, el dispositivo no sirve a un tercero sin la información de autenticación del usuario original.

Existen varias empresas que crean sistemas de autenticación basados en testigos. Una empresa es RSA. Su producto, SecurID, está disponible en varias formas, incluyendo el llavero electrónica o la tarjeta de crédito. Un código de autenticación de una vez se emite a través del testigo. Todos los códigos de autenticación son válidos durante 60 segundos. La mayoría de testigos también tienen un indicador de expiración en el dispositivo, por ejemplo, una serie de puntos que desaparecen a medida que transcurre el tiempo restante del código. Esto evita que el usuario escriba el código correcto y que caduque antes de que se complete el proceso de autenticación. Una vez finalizada la autenticación, el usuario no tiene que autenticarse con un código nuevo a no ser que se cierre la sesión, por elección o porque el dispositivo agota el tiempo por falta de actividad. Para obtener más información acerca de cómo configurar un sistema de autenticación basado en testigos, consulte la documentación para el sistema particular.

Información adicional

Para obtener más información acerca de cómo configurar la autenticación para Exchange ActiveSync, consulte los siguientes temas:

• Cómo configurar la autenticación básica para Exchange ActiveSync

• Cómo configurar la autenticación basada en certificados para Exchange ActiveSync

• Cómo instalar certificados en un dispositivo con Windows Mobile instalado

• Administrar la seguridad de Exchange ActiveSync