Trong bài viết dưới đây, chúng tôi sẽ trình bày và giới thiệu với các bạn một số đặc điểm cơ bản để tích hợp và triển khai hệ thống ứng dụng hỗ trợ của iPhone vào môi trường doanh nghiệp. Về mặt kỹ thuật, iPhone sẽ thực hiện các chu kỳ kết nối liên tục tới Microsoft Exchange, và dựa vào các chuẩn server để quản lý, cấp quyền truy cập đối với hệ thống Email, Calendar và Contact. Trong đó, dữ liệu của người dùng được bảo vệ qua cơ chế mã hóa có liên quan tới phần cứng, cải thiện tính năng Data Protection. Bên cạnh đó, toàn bộ nhân viên và quá trình làm việc của họ vẫn được đảm bảo về độ an toàn, bảo mật dựa vào cơ chuẩn kết nối VPN, giao thức Wifi trong đó bao gồm SSL VPN.
- Microsoft Exchange ActiveSync
- Standards – Based Services
- Virtual Private Networks
- Wi-Fi
- Digital Certificates
- Security Overview
- Mobile Device Management
Về bản chất kỹ thuật, iPhone và iPad có thể trực tiếp “liên lạc” với Microsoft Exchange Server qua Microsoft Exchange ActiveSync – EAS, cải thiện khả năng xử lý, giám sát Email, Calendar, Contact cùng với các tác vụ khác. Bên cạnh đó, Exchange ActiveSync còn cung cấp thêm cho người dùng khả năng truy cập tới Global Address List – GAL, hỗ trợ các tác vụ ở mức độ quản lý cao nhất với nhiều chức năng được điều khiển và giám sát từ xa. Hệ điều hành iOS hỗ trợ tốt 2 quá trình xác nhận quyền điều khiển cơ bản và dựa trên Certificate đối với Exchange ActiveSync. Nếu doanh nghiệp, tổ chức của bạn đang sử dụng Exchange ActiveSync, đã có sẵn các thiết bị và dịch vụ tương ứng trên iPhone và iPad thì có thể ứng dụng gần như ngay lập tức mà không phải thay đổi hoặc thiết lập quá nhiều thông số kỹ thuật trong hệ thống. Trong trường hợp bạn đã có kinh nghiệm xử lý trên Exchange Server 2003, 2007, hoặc 2010 nhưng công ty của bạn lại chưa ứng dụng nhiều với Exchange ActiveSync thì hãy thực hiện theo các bước trình tự bên dưới.
- Trên Front – End Server, kiểm tra rằng Certificate dành cho server đã được cài đặt và kích hoạt chế độ hỗ trợ SSL dành cho thư mục ảo Exchange ActiveSync trong IIS.
- Nếu bạn đang sử dụng server Microsoft Internet Security and Acceleration – ISA thì hãy kiểm tra lại phần Certificate dành cho server đã được cài đặt và cập nhật đầy đủ trong bộ tính năng DNS public để giải quyết các vấn đề về kết nối.
- Đảm bảo rằng DNS trong server sẽ trả về 1 địa chỉ duy nhất và bên ngoài hệ thống tới server Exchange ActiveSync dành cho ứng dụng client Intranet và Internet. Điều này rất cần thiết đối với các thiết bị sử dụng cùng 1 địa chỉ IP để giao tiếp với server khi cả 2 kiểu kết nối đều đang ở trạng thái kích hoạt.
- Nếu đang sử dụng server Microsoft ISA, hãy tạo mới chức năng web listener cũng như client Exchange web để truy cập qua các rule đang được thiết lập.
- Đối với hệ thống Firewall và thiết bị mạng, thiết lập thông số Idle Session Timeout thành 30 minute. Để tham khảo thêm về vấn đề này, hãy đọc thêm tại đây.
- Cấu hình, thiết lập 1 số tính năng qua mobile, policy và mức độ bảo mật của hệ thống phần cứng bằng cách sử dụng Exchange System Manager. Với Exchange Server 2007 và 2010, quá trình này sẽ được thực hiện bằng Exchange Management Console.
- Tải và cài đặt Microsoft Exchange ActiveSync Mobile Administration Web Tool – rất cần thiết để thực hiện các thao tác truy cập và xóa dữ liệu từ xa. Trong Exchange Server 2007 và 2010 thì quá trình này có thể được thực hiện bằng cách dùng Outlook Web Access hoặc Exchange Management Console.
- Bắt buộc yêu cầu mật khẩu quản trị trên từng thiết bị
- Độ dài tối thiểu của từng mật khẩu
- Các lần nhập mật khẩu tối đa trong từng trường hợp (trước khi tự động tiến hành việc xóa dữ liệu)
- Mật khẩu yêu cầu cả số và chữ
- Thời gian không hoạt động tối thiểu tính theo phút (1 tới 60 phút)
- Thời hạn hết hiệu lực của mật khẩu
- Lưu trữ History của password
- Giới hạn số lượng các ký tự phức tạp có trong mật khẩu
- Cho phép camera hoạt động
- Cho phép duyệt web
- Người dùng tự khởi tạo khoảng thời gian Refresh
Ở chế độ mặc định, Exchange ActiveSync cũng chỉ được thiết lập dành cho cơ chế xác nhận tài khoản người dùng ở mức cơ bản. Điều này là cần thiết dể người dùng có thể tự kích hoạt cơ chế SSL dành cho tính năng xác nhận tài khoản để đảm bảo rằng các thông tin này sẽ được mã hóa thành công trong toàn bộ quá trình.
- Thiết lập IIS trên hệ thống server front – end hoặc Client Access Server để chấp nhận quá trình xác nhận này dựa trên Certificate đối với thư mục ảo Exchange ActiveSync.
- Cho phép hoặc yêu cầu quá trình xác nhận này đối với tất cả tài khoản người sử dụng, tắt chế độ Basic authentication và chọn Accept client certificates hoặc Require client certificates.
- Tạo ra các Certificate dành cho client sử dụng server đã được xác nhận Certificate đầy đủ. Sau đó, lưu các khóa key này theo dạng Public và cấu hình IIS sử dụng trực tiếp những khóa này. Bên cạnh đó, người dùng có thể lưu lại các khóa này theo dạng Private và sử dụng Configuration Profile để “phân phát” chúng tới thiết bị iPhone và iPad. Và về bản chất, quá trình chỉ có thể được thiết lập bởi Configuration Profile.
- Chấp nhận và tạo thêm quá trình Invitation theo lịch.
- Đồng bộ hóa các thao tác.
- Đánh dấu các message trong mục Email.
- Đồng bộ các email đã được đánh dấu trong mục Reply và Forward với Exchange Server 2010.
- Tìm kiếm email trong Exchange Server 2007 và 2010.
- Hỗ trợ chế độ hoạt động nhiều tài khoản trong Exchange ActiveSync.
- Bổ sung quá trình xác nhận tài khoản của người dùng dựa trên Certificate.
- Chuyển tiếp email vào thư mục tùy chọn dựa vào nhu cầu.
- Bổ sung thêm tính năng Autodiscover.
Mô hình dưới đây là trường hợp áp dụng của iPhone và iPad kết nối tới hệ thống triển khai Microsoft Exchange Server 2003, 2007 hoặc 2010:
Đối với môi trường thử nghiệm phổ hiến, iPhone và iPad sẽ trực tiếp thiết lập giao thức kết nối, truy cập tới server mail IMAP và SMTP để gửi và nhận dữ liệu một cách nhanh chóng, hoặc có thể đồng bộ hóa dữ liệu qua kết nối Wifi với hệ thống server dựa trên IMAP. Mặt khác, các thiết bị sử dụng hệ điều hành iOS có thể kết nối tới thư mục đã được phân quyền LDAPv3 của công ty, tổ chức và qua đó, cung cấp cho toàn bộ tài khoản ngươi sử dụng quyền truy cập tới ứng dụng Mail, Contact và Message. Mặt khác, khả năng đồng bộ hóa với server CalDAV cho phép người dùng dễ dàng tạo và chấp nhận thành phần Calendar Invitation qua Wifi, nhận thông tin cập nhật Calendar, đồng bộ các thao tác với ứng dụng Reminders. Đồng thời, sự hỗ trợ của CardDAV còn cho phép người dùng tự thiết lập quy trình duy trì sự đồng bộ hóa danh sách Contact với server CardDAV qua định dạng vCard. Tất cả server trong hệ thống mạng đều được cố định bên trong subnetwork DMZ, đằng sau hệ thống Firewall hoặc là cả 2. Cùng với SSL, iOS hỗ trợ cơ chế mã hóa dữ liệu theo chuẩn 128 bit và X.509 – vốn đã được sáng lập và sử dụng rất phổ biến trong hầu hết các chuẩn Certificate ngày nay.
- Mở các cổng phù hợp trên Firewall: các giá trị cổng thông thường hay sử dụng là 993 đối với email IMAP, 587 với email SMTP, 636 với các dịch vụ LDAP directory, 8443 với dịch vụ CalDAV Calendaring, và 8843 dành cho CardDAV Contacts. 1 trong những yếu tố cần thiết khác để yêu cầu trong quá trình này là việc giao tiếp, liên lạc giữa server proxy và server IMAP, LDAP, CalDAV, CardDAV back – end sẽ được thiết lập thành việc sử dụng cơ chế mã hóa SSL sau khi được gán Certificate tương ứng bởi 1 tổ chức Certificate Authority – CA đáng tin cậy nào đó, chẳng hạn như VeriSign. Bước quan trọng này cần được thực hiện để đảm bảo rằng thiết bị iPhone và iPad có thể “nhận biết” được server proxy là 1 trong những yếu tố đáng tin cậy trong toàn bộ hệ thống của bạn.
- Đối với các email outbound SMTP thì cổng 587, 465 hoặc 25 phải đặt trong trạng thái mở để cho phép email được gửi đi. Về mặt kỹ thuật, iOS sẽ tự động kiểm tra lần lượt các cổng 587, sau đó là 465, và cuối cùng là 25 để đáp ứng được quá trình trên. Thông thường, cổng 587 là đáng “tin cậy” và bảo mật hơn cả vì có yêu cầu quá trình xác nhận tài khoản của người sử dụng, trong khi đó thì cổng 25 lại không yêu cầu quá trình này, và một số nhà cung cấp dịch vụ Internet – ISP lại thường xuyên chặn cổng này ở chế độ mặc định để giảm thiểu nạn spam.
Mặt khác, iOS còn hỗ trợ khá tốt các mô hình ứng dụng phổ biến ngày nay như IPSec, L2TP over IPSec, và PPTP của Cisco. Nếu công ty, tổ chức hoặc doanh nghiệp của bạn có hỗ trợ 1 trong số các giao thức trên, thì không cần phải sử dụng thêm ứng dụng hỗ trợ hoặc cấu hình, thiết lập hệ thống mạng để kết nối từ iPhone và iPad tới mô hình VPN.
Bên cạnh đó, iOS còn hỗ trợ thêm SSL VPN, khả năng truy cập tới server SA Series của Juniper, ASA của Cisco, và BIG – IP Edge Gateway SSL VPN của F5. Tất cả những gì cần làm là tải ứng dụng hỗ trợ VPN tương ứng được phát triển bởi Juniper, Cisco, hoặc F5 từ App Store. Cũng tương tự như các giao thức VPN khác được hỗ trợ trong iOS, SSL VPN có thể được cấu hình, thiết lập theo cách thủ công trực tiếp trên thiết bị hoặc qua Configuration Profile.
Ngoài ra, iOS hỗ trợ rất tốt các chuẩn công nghệ được sử dụng rộng rãi trong môi trường Industry như Ipv6, server proxy và split – tunneling, tương thích với nhiều chế độ xác nhận thông tin tài khoản khác nhau bao gồm mật khẩu, two factor token và Digital Certificate. Để phân tán và truyền tải dữ liệu kết nối trong môi trường có sự tồn tại của cơ chế xác nhận tài khoản dựa trên Certificate được sử dụng, tính năng VPN On Demand của iOS – tỏ ra rất cơ động trong nhiều tình huống tạo VPN khi kết nối tới từng domain nhất định.
- Cisco IPSec: hỗ trợ tính năng xác nhận tài khoản qua mật khẩu, two factor token, và máy tính trong hệ thống được sử dụng và xác thực bằng Certificate và Secret chia sẻ.
- L2TP over IPSec: tương tự như trên, tính năng này hỗ trợ khá tốt người sử dụng trong suốt quá trình xác nhận với MS-CHAP v2 Password, two factor token...
- PPTP: chỉ đáp ứng được nhu cầu xác nhận tài khoản người dùng bởi MS-CHAP v2 Password và two factor token.
- Never: hoàn toàn trái ngược với chức năng được trình bày bên trên, nghĩa là không khởi tạo bất kỳ kết nối VPN nào, nhưng nếu có thành phần VPN nào đã được kích hoạt sẵn thì hệ thống có thể sử dụng luôn.
- Establish if needed: thiết lập kết nối VPN đối với các địa chỉ trùng khớp với những phần thông tin chỉ định trong domain chỉ sau khi quá trình look – up DNS thất bại.
1 điểm nữa cần lưu ý trong quá trình này là kiểm soát lại toàn bộ việc xác nhận thông tin tới server để đảm bảo rằng chuẩn hỗ trợ đã được kích hoạt sẵn ở chế độ mặc định trong iOS.
Trong trường hợp có ý định sử dụng cơ chế mã hóa trên Certificate, thì hãy chắc chắn rằng bạn đã có khóa key public ở mức cơ sở hạ tầng và được thiết lập phù hợp, hỗ trợ các thiết bị cùng với quy trình xác nhận dựa trên Certificate, đi kèm với đó là việc xử lý, giám sát key tương ứng.
Mặt khác, nếu muốn thiết lập proxy dựa theo URL đã được xác định trước, các bạn hãy thay thế file PAC trên web server để có thể truy cập qua chế độ cấu hình ở mức cơ bản, và chắc chắn rằng quá trình này phải được tổ chức qua dạng application/x-ns-proxy-autoconfig MIME.
- Với PACS: xác định rõ địa chỉ URL của file PACS cần thiết.
- Với WPAD: thiết bị iPhone và iPad sẽ tiến hành truy vấn yêu cầu tới DHCP và DNS phù hợp với thiết lập của hệ thống.
Trong đó:
T.Anh (theo Apple)
Triển khai iPhone và iPad trong doanh nghiệp:
Trong phần tiếp theo của bài viết, chúng ta sẽ cùng nhau tham khảo về quá trình tích hợp iPhone và iPad trong môi trường doanh nghiệp với từng hoàn cảnh cụ thể khác nhau:- Microsoft Exchange ActiveSync
- Standards – Based Services
- Virtual Private Networks
- Wi-Fi
- Digital Certificates
- Security Overview
- Mobile Device Management
Ứng dụng iPhone và iPad với Exchange ActiveSync:
Thiết lập Exchange ActiveSync:
Một số yêu cầu tổng quan về hệ thống mạng:
- Kiểm tra và đảm bảo rằng cổng 443 đã được mở và được phép hoạt động qua Firewall, nếu hệ thống của bạn sử dụng Outlook Web Access thì cổng 443 đã được mở sẵn từ trước.- Trên Front – End Server, kiểm tra rằng Certificate dành cho server đã được cài đặt và kích hoạt chế độ hỗ trợ SSL dành cho thư mục ảo Exchange ActiveSync trong IIS.
- Nếu bạn đang sử dụng server Microsoft Internet Security and Acceleration – ISA thì hãy kiểm tra lại phần Certificate dành cho server đã được cài đặt và cập nhật đầy đủ trong bộ tính năng DNS public để giải quyết các vấn đề về kết nối.
- Đảm bảo rằng DNS trong server sẽ trả về 1 địa chỉ duy nhất và bên ngoài hệ thống tới server Exchange ActiveSync dành cho ứng dụng client Intranet và Internet. Điều này rất cần thiết đối với các thiết bị sử dụng cùng 1 địa chỉ IP để giao tiếp với server khi cả 2 kiểu kết nối đều đang ở trạng thái kích hoạt.
- Nếu đang sử dụng server Microsoft ISA, hãy tạo mới chức năng web listener cũng như client Exchange web để truy cập qua các rule đang được thiết lập.
- Đối với hệ thống Firewall và thiết bị mạng, thiết lập thông số Idle Session Timeout thành 30 minute. Để tham khảo thêm về vấn đề này, hãy đọc thêm tại đây.
- Tải và cài đặt Microsoft Exchange ActiveSync Mobile Administration Web Tool – rất cần thiết để thực hiện các thao tác truy cập và xóa dữ liệu từ xa. Trong Exchange Server 2007 và 2010 thì quá trình này có thể được thực hiện bằng cách dùng Outlook Web Access hoặc Exchange Management Console.
Một số chính sách bảo mật được Exchange ActiveSync hỗ trợ:
- Khả năng xóa dữ liệu từ xa- Bắt buộc yêu cầu mật khẩu quản trị trên từng thiết bị
- Độ dài tối thiểu của từng mật khẩu
- Các lần nhập mật khẩu tối đa trong từng trường hợp (trước khi tự động tiến hành việc xóa dữ liệu)
- Mật khẩu yêu cầu cả số và chữ
- Thời gian không hoạt động tối thiểu tính theo phút (1 tới 60 phút)
Một số tính năng hỗ trợ đi kèm – chỉ có trong phiên bản Exchange 2007 và 2010:
- Cho phép hoặc cấm các chuỗi mật khẩu đơn giản- Thời hạn hết hiệu lực của mật khẩu
- Lưu trữ History của password
- Giới hạn số lượng các ký tự phức tạp có trong mật khẩu
- Cho phép camera hoạt động
- Cho phép duyệt web
- Người dùng tự khởi tạo khoảng thời gian Refresh
Quá trình xác nhận thông tin theo cách đơn giản (sử dụng Username và Password):
Kích hoạt Exchange ActiveSync đối với từng tài khoản người dùng hoặc nhóm nhất định nào đó bằng cách sử dụng dịch vụ Active Directory. Trên thực tế, chế độ này đã được kích hoạt sẵn ở chế độ mặc định tại mức Organization trong Exchange Server 2003, 2007 và 2010. Đối với Exchange Server 2007 và 2010, các bạn hãy tham khảo thêm tại Recipient Configuration trong Exchange Management Console.Ở chế độ mặc định, Exchange ActiveSync cũng chỉ được thiết lập dành cho cơ chế xác nhận tài khoản người dùng ở mức cơ bản. Điều này là cần thiết dể người dùng có thể tự kích hoạt cơ chế SSL dành cho tính năng xác nhận tài khoản để đảm bảo rằng các thông tin này sẽ được mã hóa thành công trong toàn bộ quá trình.
Xác nhận tài khoản dựa trên Certificate:
- Cài đặt các dịch vụ Certificate dành cho doanh nghiệp trên từng server hoặc domain controller trong hệ thống domain của bạn (quá trình này cũng sẽ xác nhận quyền server của người sử dụng).- Thiết lập IIS trên hệ thống server front – end hoặc Client Access Server để chấp nhận quá trình xác nhận này dựa trên Certificate đối với thư mục ảo Exchange ActiveSync.
- Cho phép hoặc yêu cầu quá trình xác nhận này đối với tất cả tài khoản người sử dụng, tắt chế độ Basic authentication và chọn Accept client certificates hoặc Require client certificates.
- Tạo ra các Certificate dành cho client sử dụng server đã được xác nhận Certificate đầy đủ. Sau đó, lưu các khóa key này theo dạng Public và cấu hình IIS sử dụng trực tiếp những khóa này. Bên cạnh đó, người dùng có thể lưu lại các khóa này theo dạng Private và sử dụng Configuration Profile để “phân phát” chúng tới thiết bị iPhone và iPad. Và về bản chất, quá trình chỉ có thể được thiết lập bởi Configuration Profile.
Một số dịch vụ hỗ trợ khác của Exchange ActiveSync:
- Bổ sung thêm tính năng lookup Global Address List.- Chấp nhận và tạo thêm quá trình Invitation theo lịch.
- Đồng bộ hóa các thao tác.
- Đánh dấu các message trong mục Email.
- Đồng bộ các email đã được đánh dấu trong mục Reply và Forward với Exchange Server 2010.
- Tìm kiếm email trong Exchange Server 2007 và 2010.
- Hỗ trợ chế độ hoạt động nhiều tài khoản trong Exchange ActiveSync.
- Bổ sung quá trình xác nhận tài khoản của người dùng dựa trên Certificate.
- Chuyển tiếp email vào thư mục tùy chọn dựa vào nhu cầu.
- Bổ sung thêm tính năng Autodiscover.
Mô hình dưới đây là trường hợp áp dụng của iPhone và iPad kết nối tới hệ thống triển khai Microsoft Exchange Server 2003, 2007 hoặc 2010:
Tùy thuộc vào cấu hình của hệ thống mạng, chức năng Mail Gateway hoặc Edge Transport Servercó thể thay đổi bên trong mô hình – DMZ
Trong đó:1: thiết bị iPhone và iPad sẽ gửi yêu cầu truy cập tới các dịch vụ Exchange ActiveSync qua cổng 443 (giao thức HTTPS), đây cũng là cổng được sử dụng với Outlook Web Access và một số dịch vụ web bảo mật khác, do vậy phần lớn các trường hợp triển khai và áp dụng vào thực tế thì cổng này đã được mở và cấu hình sẵn để phù hợp với cơ chế mã hóa SSL và luồng dữ liệu HTTPS.
2: sau đó, ISA sẽ cung cấp quyền truy cập tới server front – end Exchange hoặc Client Access. Trên thực tế, ISA đã được thiết lập như 1 hệ thống proxy, hoặc trong nhiều trường hợp là reverse proxy (với chức năng ngược lại hoàn toàn với proxy) để chuyển hướng luồng dữ liệu traffic tới Exchange Server.
3: Exchange Server sẽ tiến hành xác nhận quyền của các tài khoản User qua dịch vụ Active Directory và server Certificate (nếu bạn sử dụng tính năng xác nhận dựa trên Certificate).
4: nếu người dùng cung cấp các thông tin xác nhận này hoàn toàn chính xác và thực hiện quá trình truy cập tới Exchange ActiveSync, server Front – End sẽ tiếp tục thực hiện giao thức kết nối tới thành phần mailbox tương ứng đối với server Back – End (qua Active Directory Global Catalog).
5: các kết nối Exchange ActiveSync được khởi tạo, tác vụ thay đổi, cập nhật được thực hiện vô cùng nhanh chóng, và tương tự như vậy, bất kỳ sự thay đổi nào trên iPhone hoặc iPad đều được “mô phỏng” trên Exchange Server.
6: các email được gửi đi cũng được đồng bộ với Exchange Server thông qua Exchange ActiveSync (bước 5). Mặt khác, để xác định các email outbound tới địa chỉ người nhận bên ngoài, chúng thường được gửi qua 1 thành phần gọi là server Bridgehead (hoặc Hub Transport) tới Mail Gateway bên ngoài (hoặc server Edge Transport) qua giao thức SMTP. Bên cạnh đó, phụ thuộc vào cấu hình của hệ thống mạng, thành phần Mail Gateway hoặc server Edge Transport bên ngoài hoàn toàn có thể tự thay đổi bên trong mô hình hoặc bên ngoài hệ thống Firewall.
Triển khai iPhone và iPad với các dịch vụ dựa trên chuẩn hệ thống:
Với sự hỗ trợ giao thức email IMAP, các dịch vụ LDAP directory, tính năng hỗ trợ sắp xếp CalDAV và danh sách Contact CardDAV, nền tảng iOS có thể tích hợp với bất kỳ hệ thống email dựa trên chuẩn môi trường Standard, Calendar và Contact. Và nếu hệ thống của bạn đã được thiết lập để yêu cầu quá trình xác nhận tài khoản người dùng qua SSL, thì thiết bị iPhone và iPad sẽ cung cấp cho họ phương pháp tiếp cận hoàn toàn bảo mật để truy cập tới dịch vụ email, Calendar và Contact tương ứng.Đối với môi trường thử nghiệm phổ hiến, iPhone và iPad sẽ trực tiếp thiết lập giao thức kết nối, truy cập tới server mail IMAP và SMTP để gửi và nhận dữ liệu một cách nhanh chóng, hoặc có thể đồng bộ hóa dữ liệu qua kết nối Wifi với hệ thống server dựa trên IMAP. Mặt khác, các thiết bị sử dụng hệ điều hành iOS có thể kết nối tới thư mục đã được phân quyền LDAPv3 của công ty, tổ chức và qua đó, cung cấp cho toàn bộ tài khoản ngươi sử dụng quyền truy cập tới ứng dụng Mail, Contact và Message. Mặt khác, khả năng đồng bộ hóa với server CalDAV cho phép người dùng dễ dàng tạo và chấp nhận thành phần Calendar Invitation qua Wifi, nhận thông tin cập nhật Calendar, đồng bộ các thao tác với ứng dụng Reminders. Đồng thời, sự hỗ trợ của CardDAV còn cho phép người dùng tự thiết lập quy trình duy trì sự đồng bộ hóa danh sách Contact với server CardDAV qua định dạng vCard. Tất cả server trong hệ thống mạng đều được cố định bên trong subnetwork DMZ, đằng sau hệ thống Firewall hoặc là cả 2. Cùng với SSL, iOS hỗ trợ cơ chế mã hóa dữ liệu theo chuẩn 128 bit và X.509 – vốn đã được sáng lập và sử dụng rất phổ biến trong hầu hết các chuẩn Certificate ngày nay.
Thiết lập hệ thống mạng:
Nếu muốn áp dụng vào thực tế, bộ phận quản trị hệ thống của công ty, doanh nghiệp, tổ chức cần phải đảm bảo hoàn thành được những bước quan trọng sau đây trước khi kích hoạt khả năng truy cập từ iPhone, iPad tới các dịch vụ IMAP, LDAP, CalDAV và CardDAV:- Mở các cổng phù hợp trên Firewall: các giá trị cổng thông thường hay sử dụng là 993 đối với email IMAP, 587 với email SMTP, 636 với các dịch vụ LDAP directory, 8443 với dịch vụ CalDAV Calendaring, và 8843 dành cho CardDAV Contacts. 1 trong những yếu tố cần thiết khác để yêu cầu trong quá trình này là việc giao tiếp, liên lạc giữa server proxy và server IMAP, LDAP, CalDAV, CardDAV back – end sẽ được thiết lập thành việc sử dụng cơ chế mã hóa SSL sau khi được gán Certificate tương ứng bởi 1 tổ chức Certificate Authority – CA đáng tin cậy nào đó, chẳng hạn như VeriSign. Bước quan trọng này cần được thực hiện để đảm bảo rằng thiết bị iPhone và iPad có thể “nhận biết” được server proxy là 1 trong những yếu tố đáng tin cậy trong toàn bộ hệ thống của bạn.
- Đối với các email outbound SMTP thì cổng 587, 465 hoặc 25 phải đặt trong trạng thái mở để cho phép email được gửi đi. Về mặt kỹ thuật, iOS sẽ tự động kiểm tra lần lượt các cổng 587, sau đó là 465, và cuối cùng là 25 để đáp ứng được quá trình trên. Thông thường, cổng 587 là đáng “tin cậy” và bảo mật hơn cả vì có yêu cầu quá trình xác nhận tài khoản của người sử dụng, trong khi đó thì cổng 25 lại không yêu cầu quá trình này, và một số nhà cung cấp dịch vụ Internet – ISP lại thường xuyên chặn cổng này ở chế độ mặc định để giảm thiểu nạn spam.
Một số cổng thường sử dụng phổ biến:
IMAP/SSL: 993
SMTP/SSL: 587
LDAP/SSL: 636
CalDAV/SSL: 8443, 443
CardDAV/SSL: 8843, 443
SMTP/SSL: 587
LDAP/SSL: 636
CalDAV/SSL: 8443, 443
CardDAV/SSL: 8843, 443
Một số cách cơ bản để kích hoạt dịch vụ email IMAP hoặc POP:
Trên thực tế, iOS hỗ trợ hầu hết các server mail theo chuẩn Industry dựa trên giao thức IMAP4 hoặc POP3 trên nhiều nền tảng hệ điều hành phổ biến dành cho server hiện nay, trong đó co bao gồm: Windows, UNIX, Linux, và Mac OS X.Một số chuẩn CalDAV và CardDAV:
Về mặt kỹ thuật, iOS hỗ trợ khá tốt giao thức CalDAV Calendaring và CardDAV Contact, cả 2 giao thức trên đều đã được phân loại tiêu chuẩn bởi IETF. Các bạn có thể tham khảo thêm thông tin chi tiết tại CalConnect hoặc đây.Mô hình triển khai:
Ảnh chụp màn hình dưới đây chỉ ra cách thức iPhone và iPad kết nối tới mô hình hệ thống IMAP, LDAP, CalDAV và CardDAV phổ biến:
1: thiết bị di động iPhone và iPad gửi yêu cầu truy cập tới các dịch vụ trong hệ thống mạng qua những cổng đã được chỉ định sẵn.
2: phụ thuộc vào từng dịch vụ, các tài khoản người sử dụng phải thực hiện quá trình xác nhận với reverse proxy hoặc trực tiếp với server để được cấp phép truy cập trực tiếp tới hệ thống cơ sở dữ liệu. Trong tất cả mọi trường hợp, các giao thức kết nối chuyển tiếp bởi reverse proxy – đảm nhiệm vai trò như 1 lớp gateway bảo mật, thường tồn tại ngay phía sau hệ thống Firewall của tổ chức, doanh nghiệp. Một khi quy trình xác nhận này hoàn tất, người sử dụng đã có thể truy cập và sử dụng dữ liệu tương ứng cần thiết tại server back – end.
3: thiết bị iPhone và iPad sẽ cung cấp các dịch vụ lookup tương ứng đối với hệ thống thư mục LDAP, hỗ trợ người dùng cụ thể hơn trong các trường hợp tìm kiếm thông tin Contact, dữ liệu có liên quan... trên server LDAP.
4: đối với CalDAV Calendar, người dùng hoàn toàn có thể truy cập và thực hiện các thao tác nâng cấp, cập nhật dữ liệu calendar của họ.
5: thông tin CardDAV Contact được lưu trữ trên server, và có thể được truy cập trực tiếp trên hệ thống qua iPhone hoặc iPad. Các thay đổi tại trường dữ liệu trong CardDAV Contact sẽ được đồng bộ hóa ngược trở lại server CardDAV.
6: đối với một số dịch vụ email IMAP thì các tin nhắn mới hoặc có sẵn đều có thể đọc được trên iPhone hoặc iPad qua kết nối proxy tới server mail. Các email outgoing sẽ được gửi tới server SMTP, và các bản copy sẽ được thay thế trong thư mục Send của người sử dụng.
Ứng dụng iPhone và iPad trong môi trường hệ thống mạng ảo VPN – Virtual Private Network:
Trên thực tế, quá trình truy cập bảo mật tới hệ thống mạng riêng ảo của doanh nghiệp, tổ chức... đã có sẵn trên iPhone hoặc iPad bằng cách kích hoạt và thiết lập giao thức VPN tương ứng theo chuẩn Industry. Qua đó, người dùng có thể dễ dàng kết nối tới hệ thống, mô hình hoạt động của doanh nghiệp qua ứng dụng client VPN đã được xây dựng, tích hợp sẵn trong iOS thông qua tiện ích hỗ trợ từ bên ngoài, ví dụ như hệ thống của Juniper, Cisco và F5.Mặt khác, iOS còn hỗ trợ khá tốt các mô hình ứng dụng phổ biến ngày nay như IPSec, L2TP over IPSec, và PPTP của Cisco. Nếu công ty, tổ chức hoặc doanh nghiệp của bạn có hỗ trợ 1 trong số các giao thức trên, thì không cần phải sử dụng thêm ứng dụng hỗ trợ hoặc cấu hình, thiết lập hệ thống mạng để kết nối từ iPhone và iPad tới mô hình VPN.
Bên cạnh đó, iOS còn hỗ trợ thêm SSL VPN, khả năng truy cập tới server SA Series của Juniper, ASA của Cisco, và BIG – IP Edge Gateway SSL VPN của F5. Tất cả những gì cần làm là tải ứng dụng hỗ trợ VPN tương ứng được phát triển bởi Juniper, Cisco, hoặc F5 từ App Store. Cũng tương tự như các giao thức VPN khác được hỗ trợ trong iOS, SSL VPN có thể được cấu hình, thiết lập theo cách thủ công trực tiếp trên thiết bị hoặc qua Configuration Profile.
Ngoài ra, iOS hỗ trợ rất tốt các chuẩn công nghệ được sử dụng rộng rãi trong môi trường Industry như Ipv6, server proxy và split – tunneling, tương thích với nhiều chế độ xác nhận thông tin tài khoản khác nhau bao gồm mật khẩu, two factor token và Digital Certificate. Để phân tán và truyền tải dữ liệu kết nối trong môi trường có sự tồn tại của cơ chế xác nhận tài khoản dựa trên Certificate được sử dụng, tính năng VPN On Demand của iOS – tỏ ra rất cơ động trong nhiều tình huống tạo VPN khi kết nối tới từng domain nhất định.
Các chuẩn giao thức và phương pháp xác nhận tài khoản hỗ trợ:
- SSL VPN: hỗ trợ các tài khoản người dùng được xác nhận bằng mật khẩu, two factor token và certificate.- Cisco IPSec: hỗ trợ tính năng xác nhận tài khoản qua mật khẩu, two factor token, và máy tính trong hệ thống được sử dụng và xác thực bằng Certificate và Secret chia sẻ.
- L2TP over IPSec: tương tự như trên, tính năng này hỗ trợ khá tốt người sử dụng trong suốt quá trình xác nhận với MS-CHAP v2 Password, two factor token...
- PPTP: chỉ đáp ứng được nhu cầu xác nhận tài khoản người dùng bởi MS-CHAP v2 Password và two factor token.
VPN On Demand:
Để phục vụ quá trình thiết lập việc xác nhận tài khoản dựa trên Certificate, iOS còn hỗ trợ thêm tính năng VPN On Demand. Về bản chất, chức năng này sẽ tự động thiết lập kết nối khi truy cập vào những domain đã được chỉ định sẵn, cung cấp và đảm bảo cho người sử dụng luôn được hoạt động liền mạch và thông suốt. Và trên thực tế, tính năng này của iOS không yêu cầu thêm bất kỳ công đoạn cấu hình hoặc thiết lập nào từ phía server, và các thác tác này vẫn có thể được thực hiện qua Configuration Profile hoặc làm theo cách thủ công – trực tiếp ngay trên thiết bị.Một số tùy chọn của VPN On Demand:
- Always: khởi tạo kết nối VPN đối với bất kỳ địa chỉ nào trùng khớp với thông tin của domain.- Never: hoàn toàn trái ngược với chức năng được trình bày bên trên, nghĩa là không khởi tạo bất kỳ kết nối VPN nào, nhưng nếu có thành phần VPN nào đã được kích hoạt sẵn thì hệ thống có thể sử dụng luôn.
- Establish if needed: thiết lập kết nối VPN đối với các địa chỉ trùng khớp với những phần thông tin chỉ định trong domain chỉ sau khi quá trình look – up DNS thất bại.
Thiết lập VPN:
Về bản chất, hệ điều hành iOS có tính tương thích khá tốt với nhiều nền tảng hệ thống VPN đã có sẵn, giảm thiểu tối đa các thao tác thiết lập hoặc cấu hình từ phía bên ngoài. Và cách tốt nhất để chuẩn bị cho quá trình ứng dụng, triển khai là kiểm tra iOS có hỗ trợ giao thức VPN và phương pháp xác nhận tài khoản người dùng hiện tại có trong tổ chức, doanh nghiệp hay không.1 điểm nữa cần lưu ý trong quá trình này là kiểm soát lại toàn bộ việc xác nhận thông tin tới server để đảm bảo rằng chuẩn hỗ trợ đã được kích hoạt sẵn ở chế độ mặc định trong iOS.
Trong trường hợp có ý định sử dụng cơ chế mã hóa trên Certificate, thì hãy chắc chắn rằng bạn đã có khóa key public ở mức cơ sở hạ tầng và được thiết lập phù hợp, hỗ trợ các thiết bị cùng với quy trình xác nhận dựa trên Certificate, đi kèm với đó là việc xử lý, giám sát key tương ứng.
Mặt khác, nếu muốn thiết lập proxy dựa theo URL đã được xác định trước, các bạn hãy thay thế file PAC trên web server để có thể truy cập qua chế độ cấu hình ở mức cơ bản, và chắc chắn rằng quá trình này phải được tổ chức qua dạng application/x-ns-proxy-autoconfig MIME.
Thiết lập Proxy:
Để thực hiện quá trình này, người sử dụng có thể tự thiết lập proxy VPN của riêng họ. Và nếu muốn khởi tạo 1 proxy duy nhất đối với tất cả các kết nối, các bạn hãy sử dụng thiết lập Manual, sau đó cung cấp thông tin về địa chỉ, port và thông tin xác nhận tài khoản nếu thấy cần thiết. Trong trường hợp cần thiết phải cung cấp tới thiết bị file tự động cấu hình sử dụng PAC hoặc WPAD, hãy áp dụng chế độ Auto Setting.- Với PACS: xác định rõ địa chỉ URL của file PACS cần thiết.
- Với WPAD: thiết bị iPhone và iPad sẽ tiến hành truy vấn yêu cầu tới DHCP và DNS phù hợp với thiết lập của hệ thống.
Mô hình triển khai:
Sơ đồ dưới đây chỉ ra 1 mô hình triển khai điển hình của server VPN cũng như server xác nhận thông tin tài khoản để quản lý, giám sát quá trình truy cập tới các dịch vụ trong doanh nghiệp:
1: thiết bị iPhone và ipad gửi yêu cầu truy cập tới các dịch vụ trong hệ thống mạng
2: server VPN tiếp nhận những yêu cầu, sau đó chuyển tới server xác nhận thông tin
3: trong điều kiện của môi trường two factor token, server xác nhận sẽ đảm nhận nhiệm vụ tạo key token được đồng bộ theo thời gian với server key. Nếu phương pháp xác thực qua Certificate này được áp dụng, thì 1 thành phần Certificate đã được chứng nhận cần phải được phân tán trước khi quá trình xác nhận diễn ra. Còn nếu áp dụng bằng mật khẩu – Password thì quá trình trên sẽ được tiến hành cùng với việc kiểm tra tài khoản User.
4: ngay sau khi 1 tài khoản người dùng nào đó được xác nhận đầy đủ, server sẽ tiếp tục với việc kiểm tra policy của nhóm hoặc người dùng cá nhân đó.
5: khi quá trình trên kết thúc, server VPN sẽ cung cấp các luồng truy cập được mã hóa và bảo vệ đầy đủ tới nhiều dịch vụ khác trên hệ thống mạng.
6: nếu server proxy đang được sử dụng, thì thiết bị iPhone và iPad sẽ tiến hành kết nối qua server proxy này để truy cập tới toàn bộ phần thông tin, dữ liệu bên ngoài hệ thống Firewall.
Trên đây là một số điểm cần chú ý ban đầu khi người sử dụng muốn triển khai các ứng dụng của iPhone hoặc iPad và áp dụng vào mô hình doanh nghiệp, tổ chức với VPN. Trong phần tiếp theo của loạt bài viết về chủ đề này, chúng tôi sẽ gửi tới các bạn những bước cơ bản để áp dụng và thực hiện công việc qua Wifi. Chúc các bạn thành công!T.Anh (theo Apple)
No comments:
Post a Comment