iPhone - autentizace exhange certifikátem
Potrebuju se pripojit k firemnímu Exchange s iPhone. Kvůli zabezpečení je připojení zabezpečeno certifikátem.
Na Androidu je to jednoduché - nainstaluju certifikát a při zadávání údajů o servru jej vyberu. Zvládá to i blby vestavěný GMail klient.
Co jsem zjistil u iPhone, budu k tomu potřebovat Mac, tam certifikát zabalim do profilu, vystavím nekde ke stažení, do iPhone stáhnu a pak nastavim připojení.
Nebo mi něco uniká a jde to udělat i bez toho, abych musel k iPhone dokupovat Mac pro připojení pošty?
Čekal jsem, že mi Sempron nabidne jednoduchou odpověď. Ale vypada to, že na takovou základní věc, jako je zabezpečené připojení k mailu budu muset obtěžovat kamaráda s Macem.
To psali kde ze k tomu potrebujes Mac ?
Ano, instalce certifikatu z odkazu je moznost.
Dobře. Rad uvitam navod.
Mam vygenerovany PFX certifikat, který slouží pro autentizaci proti exchange serveru.
Mail klient na iPhone neumí vybrat certifikát, přestože je na iPhone naimportovany.
Když jsem se o tom bavil s lidmi, kteří to rozchodili, dozvěděl jsem se, že je treba certifikat na Macu zabalit (vygenerovat profil) a pak takto zabalený certifikát na iPhone naimportovat.
Jak tohle udělám přímo na iPhone s PFX certifikatem?
Verze iOS ?
Jestli ho uz mas vygenerovany co zpravdepodobne mas, tak si ho posli mailem a importuj ho : https://kb.iu.edu/d/bcsu
(nemusis ho vystavovat ne netu jestli to myslis takle)
Certifilat jsem na Iphone mailem dostal, naimportoval, ale takto to nefunguje.
Musi se vytvorit profil pro exchange a konkretni e-mailovou adresu a tohle rovnou na iPhone neudelam. Aspon nevim jak.
Ja neresim podepisovani mailu ja resim pristup k emailu s certifikatem, jako forma 2-fazove autorizace.
Opakuju, Android nebo Windows ti nabidnou při zadávání připojení k serveru moznost vyberu certifikatu. iPhone ne. Diky sve blbuvzdornosti musíš mít předem připravený profil s certifikátem a jak to udělat rovnou na iPhone jsem nezjistil.
S tim nic nenadelas. Musime verit, ze to ma nejaky opodstatneny duvod made in Apple.
PS: S tim dvoufazovym prihlaseni nevim, ale mozna ti pomuze problem jineho uzivatele zminuji i problem s MFA:
https://docs.microsoft.com/en-us/answers/questions/93588/ios-14-mailcalendar-multi-factor-authentication-fa.html?childToView=104889#answer-104889
Tohle jsem udělal, ale chybí tam autentifikace pomocí certifikatu. A o tom se celou dobu bavim.
Takže mailovy účet existuje, bez problémů jsem jej vytvoril. Žádnou chybu při pokusu o stažení pošty nehlásí, jen nic neudělá. Což je od Aple taky hloupé.
Jinak je je to iPhone 7, předpokládám s posledním dostupným os.
Ano, pořídit si k iPhone ještě i Mac, jinak by ta možnost byla i rpvnou v iPhone. Prostě si u kamarada necham vygenerovat profil, aby se uzivatel se svým iPhonem dostal k firemní poště.
Zkousel jsi Outlook pro iOS?
Outlook pro Android neumoznuje (nebo aspon nějaký mesic zpět) pristup přes certifikat neuměl. Umí to jakýkoliv klient včetně GMail, jen ten Outlook ne.
Takže nepředpokládám, že ten pro iPS by to uměl.
A i kdyby to uměl, prace s certifikaty na iPhone je specifická a program to musí respektovat.
ok, mam taky iphone a pripojuju se ke korporatnimu exchange... certifikaty nevim jestli tam mame, nicmene pouzivam Outlook a vse jede...
Co na to říct. Kdybych neměl na korporátním serveru 2-fazovou autentifikaci certifikatem kvuli bezpečnosti, jelo by mi to taky klidně i s interním poštovním klientem.
Takto je to jen další věc, kterou si Apple dělá po svém a jen s iPhonem je to pro uzivatele neřešitelné.
A to nemluvím o tom, že nejsi schopný ten certifikát do telefonu dostat třeba připojením telefonu kabelem, ale musíš ho tam posílat mailem nebo vystavit někde na web ke stažení. Ani ten základní masstorage nejde.
No len aby to nesúviselo s HAFNIUM targeting Exchange Servers with 0-day exploits
Čo presne za certifikát to máš? Aký typ overenia je nastavený na Exchange?
Tento istý certfikát dávaš aj na android, kde to funguje? Čiže sa ním prihlasuješ namiesto mena/hesla?
Je to certifikat, kterym se autentizujes u exchange, krome jmena a hesla - 2-fazova autentifikace.
Funguje to z venku na OWA v prohlížeči, funguje to na Windows Outlook pri pristupu mimo organizaci, funguje to na Androidu. Všude to jednoduše nastavíš - jediné, co potřebuješ je naimportovat certifikát vystavený pro konkrétního uživatele.
Tak hlavně že ten apple je tak skvělý, jednoduchý a dokonalýkonalý a neumí základní věc.
Na to peč, hlavně že stál 2x tolik, ještě si dokup kolečka za 20k a sluchátka...
Opravdu přínosný příspěvek k vyřešení problému.
Však z něj plyne co je řešením, nebýt ovce co chce krám za 40.000 a koupit si něco funkcního za polovinu 🙃
Závěr a postup:
1. Je třeba MAC počítač. V něm se v profile manageru provede vytvoření profilu, tzn. komplet konfigurace účtu včetně vloženého certifikátu
2. Profil se vystaví někde veřejně, aby se dal stáhnout, protože kabelem do iPhone nic nedostanete
3. Odkaz je třeba otevřít v Safari - v tom případě dojde k registraci profilu v nastavení. Pokud jej otevřete v jiném prohlížeči, máte pouze stažený soubor, který k ničemu není
4. Z nastavení je třeba profil nainstalovat, tím se vytvoří účet v mailu a začne fungovat pošta
iPhone je prostě plný překvapení a potvrzuje pouze to, že pro tupou práci je dobrý, ale jakmile je třeba udělat něco navíc, dostává se uživatel do neřešitelné situace.
Ve firmách se musí prostředí ohýbat a přizpůsobovat Apple, což z mého pohledu je špatně, ale děje se to, protože iPhone vlastní zejména vedení (je to cool)
žiadny MAC k tomu nepotrebuješ,otvor nastavenia-mail-účet-nový účet-Microsoft exchange-naťukaj všetky parametre,povol SSL s/mime a ostatné prkotiny,naimportuj certifikát a je to,pokial niekde nastane chyba,v nastaveniach povol správu zariadenia exchange server alebo si v Apple store stiahni Microsoft authentificator a podrobnejšie nastavenia urob pomocou neho...