Integrar Exchange Server o IBM Notes Traveler Server

Para mantener Secure Mail sincronizado con Microsoft Exchange o IBM Notes, se puede integrar Secure Mail con un servidor Exchange o IBM Notes Traveler que resida en la red interna o esté detrás de NetScaler Gateway.

Importante:

No puede sincronizar el correo de Secure Mail con IBM Notes Traveler (anteriormente IBM Lotus Notes Traveler). Esta capacidad de terceros de Lotus Notes no se respalda actualmente. Por eso, cuando elimina por ejemplo un correo de reunión de Secure Mail, ese correo no se elimina del servidor IBM Notes Traveler. [CXM-47936]

La sincronización también está disponible para Secure Notes y Secure Tasks como se describe a continuación.

  • Puede integrar Secure Notes para iOS con un servidor Exchange.
  • Secure Notes para Android y Secure Tasks para Android usan Secure Mail para Android para sincronizar las notas y las tareas de Exchange.

Importante:

No puede sincronizar el correo de Secure Mail con IBM Notes Traveler (anteriormente IBM Lotus Notes Traveler). Esta capacidad de terceros de Lotus Notes no se respalda actualmente. Por eso, cuando elimina de Secure Mail el correo de una reunión a la que ha respondido, ese correo no se elimina del servidor IBM Notes Traveler. [CXM-47936]Para obtener más información acerca de las limitaciones conocidas con IBM/Lotus Notes, consulte esta entrada de blog de Citrix.

Al agregar Secure Mail, Secure Notes y Secure Tasks a Endpoint Management (antes XenMobile), configure las siguientes directivas MDX para la integración con Exchange Server o IBM Notes:

  • Para Secure Mail: Establezca la directiva “Servidor Exchange de Secure Mail” en el nombre de dominio completo (FQDN) del servidor Exchange o IBM Notes Traveler.

    Los requisitos de Secure Mail para especificar una conexión a servidores Notes Traveler dependen de la plataforma utilizada:

    Secure Mail para Android y Secure Mail para iOS admiten la ruta completa especificada de un servidor Notes Traveler. Por ejemplo: https://mail.example.com/traveler/Microsoft-Server-ActiveSync. (Ya no es necesario configurar el directorio de Domino con las reglas de sustitución de sitios Web para Traveler Server.)

  • Para Secure Notes y Secure Tasks: Especifique los valores de las directivas: Servidor Exchange de Secure Notes, el dominio de usuario de Secure Notes, Servidor Exchange de Secure Tasks y dominio de usuario de Secure Tasks.

Las siguientes directivas MDX afectan al flujo de comunicación de Secure Mail:

Acceso de red: La directiva “Acceso de red” especifica si hay restricciones para el acceso a la red. De forma predeterminada, el acceso de Secure Mail se tuneliza a la red interna, lo que significa que no hay ninguna restricción para el acceso de red; las aplicaciones tienen acceso sin restricciones a las redes a las que se conecta el dispositivo. La directiva “Acceso de red” interactúa con la directiva “Servicios de red en segundo plano”, que se describe a continuación.

Servicios de red en segundo plano: La directiva “Servicios de red en segundo plano” especifica las direcciones de servicio permitidas para el acceso a la red en segundo plano. Las direcciones de servicio pueden ser de un servidor Exchange o ActiveSync, en la red interna o en otra red a la que se conecte Secure Mail (por ejemplo: correo.ejemplo.com:443).

Cuando configure la directiva “Servicios de red en segundo plano”, defina también la directiva “Acceso de red” en Túnel a la red interna. La directiva “Servicios de red en segundo plano” se aplicará cuando configure la directiva “Acceso de red”.

Puerta de enlace de servicio de red en segundo plano: Use la directiva “Puerta de enlace de servicio de red en segundo plano” para especificar el NetScaler Gateway que usará Secure Mail para conectarse al servidor Exchange interno. Si especifica una dirección de puerta de enlace alternativa, defina la directiva “Acceso de red” en Túnel a la red interna. La directiva “Puerta de enlace de servicio de red en segundo plano” se aplicará cuando configure la directiva “Acceso de red”.

Caducidad del tíquet de servicios en segundo plano: La directiva “Caducidad del tíquet de servicios en segundo plano” especifica el período de validez de un tíquet del servicio de red en segundo plano. Cuando Secure Mail se conecta a través de NetScaler Gateway a un servidor Exchange que ejecuta ActiveSync, Endpoint Management emite un token que Secure Mail usa para conectarse al servidor Exchange interno. Este parámetro determina cuánto tiempo Secure Mail puede usar el token sin necesidad de uno nuevo para la autenticación y la conexión con Exchange Server. Cuando se alcanza el límite de tiempo, los usuarios deben volver a iniciar sesión para generar un nuevo token. El valor predeterminado es 168 horas (7 días).

En las siguientes ilustraciones, se muestran los tipos de conexiones de Secure Mail a un servidor de correo. Después de cada ilustración hay una lista de las configuraciones de directiva relacionadas.

Imagen de la conexión de Secure Mail al servidor de correo

Directivas para una conexión directa con un servidor de correo:

  • Acceso de red: Sin restricciones
  • Servicios de red en segundo plano: en blanco
  • Caducidad del tíquet de servicios en segundo plano: 168
  • Puerta de enlace de servicio de red en segundo plano: en blanco

Imagen de Secure Mail con una micro VPN

Directivas para una conexión directa con un servidor de correo:

  • Acceso de red: Túnel a la red interna
  • Servicios de red en segundo plano: en blanco
  • Caducidad del tíquet de servicios en segundo plano: 168
  • Puerta de enlace de servicio de red en segundo plano: en blanco

Imagen de Secure Mail con STA

Directivas para acceso con STA a un servidor de correo electrónico:

  • Acceso de red: Túnel a la red interna
  • Servicios de red en segundo plano: correo.ejemplo.com: 443
  • Caducidad del tíquet de servicios en segundo plano: 168
  • Puerta de enlace de servicio de red en segundo plano: puerta3.ejemplo.com:443

En la siguiente imagen se muestra dónde se aplican las directivas:

Imagen de las directivas y dónde se aplican

Configurar IBM Notes Traveler Server para Secure Mail

En los entornos de IBM Notes, es necesario configurar el servidor IBM Notes Traveler antes de implementar Secure Mail. En esta sección se muestra una imagen de la implementación de esta configuración, así como los requisitos del sistema.

Importante:

Si el servidor Notes Traveler usa SSL 3.0, tenga en cuenta que SSL 3.0 contiene una vulnerabilidad conocida como ataque POODLE (Padding Oracle On Downgraded Legacy Encryption), que es un ataque de tipo intermediario que afecta a cualquier aplicación que se conecta a un servidor usando SSL 3.0. Para evitar la vulnerabilidad introducida por el ataque POODLE, Secure Mail inhabilita las conexiones SSL 3.0 de manera predeterminada y usa TLS 1.0 para conectarse al servidor. Por eso, Secure Mail no puede conectarse a servidores Notes Traveler que usen SSL 3.0. Para obtener más información sobre una solución temporal recomendada, consulte la sección “Configurar el nivel de seguridad de SSL/TLS” en Integrar Exchange Server o IBM Notes Traveler Server.

En los entornos de IBM Notes, es necesario configurar el servidor IBM Notes Traveler antes de implementar Secure Mail.

En la imagen siguiente se muestra la ubicación en la red de los servidores IBM Notes Traveler y un servidor de correo IBM Domino en un entorno de ejemplo.

Imagen de la implementación de servidores IBM Notes Traveler y del servidor de correo IBM Domino con XenMobile

Requisitos del sistema

Requisitos del servidor de infraestructura

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

Protocolos de autenticación

  • Base de datos de Domino
  • Protocolo de autenticación de Lotus Notes
  • Protocolo de autenticación de Lightweight Directory

Requisitos de puertos

  • Exchange: el puerto SSL predeterminado es 443.
  • IBM Notes: SSL recibe respaldo en el puerto 443. Sin SSL recibe respaldo, de forma predeterminada, en el puerto 80.

Configurar el nivel de seguridad de SSL/TLS

Citrix ha realizado modificaciones en Secure Mail para solventar las vulnerabilidades introducidas por los ataques POODLE, como se describe en la nota “Importante” mencionada anteriormente. Por lo tanto, si su servidor Notes Traveler usa SSL 3.0, para habilitar las conexiones la solución recomendada es utilizar TLS 1.2 en el servidor IBM Notes Traveler 9.0.

IBM dispone de una revisión para impedir el uso de SSL 3.0 en las comunicaciones seguras de servidor a servidor de Notes Traveler. La revisión, publicada en noviembre de 2014, viene incluida como actualización intermedia en las siguientes versiones del servidor Notes Traveler: 9.0.1 IF7, 9.0.0.1 IF8 y 8.5.3 Upgrade Pack 2 IF8 (y será incluida en futuras versiones también). Para ver más información sobre esta revisión, consulte LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION.

Como solución temporal, cuando agregue Secure Mail a Endpoint Management, cambie la directiva “Nivel de seguridad de la conexión” a SSLv3 y TLS. Para obtener información actualizada sobre este problema, consulte Conexiones SSLv3 inhabilitadas de forma predeterminada en Secure Mail 10.0.3.

En la siguiente tabla, se indican los protocolos que admite Secure Mail por sistema operativo, según el valor que tenga la directiva “Nivel de seguridad de la conexión”. Su servidor de correo electrónico también debe ser capaz de negociar el protocolo.

En la siguiente tabla se muestran los protocolos respaldados para Secure Mail cuando el nivel de seguridad de conexión es SSL 3 y TLS.

Tipo de sistema operativo SSLv3 TLS
Anterior a iOS 9
iOS 9 y posterior No
Anterior a Android M
Android M y Android N
Android O No

En la siguiente tabla se muestran los protocolos respaldados para Secure Mail cuando el nivel de seguridad de la conexión es TLS.

Tipo de sistema operativo SSLv3 TLS
Anterior a iOS 9 No
iOS 9 y posterior No
Anterior a Android M No
Android M y Android N No
Android O No

Configurar Notes Traveler Server

La siguiente información corresponde a las páginas de configuración en el cliente IBM Domino Administration.

  • Security: La autenticación de Internet está establecida en “Fewer name variations with higher security”. Este parámetro se utiliza para asignar un UID a un ID de usuario de AD en los protocolos de autenticación de LDAP.
  • NOTES.INI Settings: Agregue NTS_AS_ENFORCE_POLICY=false. Eso permite administrar las directivas de Secure Mail a través de Endpoint Management, en lugar de Traveler. Esta configuración puede entrar en conflicto con las implementaciones actuales del cliente, pero simplificará la administración del dispositivo en implementaciones de Endpoint Management.
  • Synchronization protocols: Por el momento, Secure Mail no admite SyncML en IBM Notes ni la sincronización de dispositivos móviles. Secure Mail sincroniza elementos de correo, calendario y contactos a través del protocolo de Microsoft ActiveSync integrado en los servidores Traveler. Si se fuerza SyncML como protocolo principal, Secure Mail no se podrá conectar a través de la infraestructura de Traveler.
  • Domino Directory Configuration - Web Internet Sites: Invalidar la autenticación de sesión para /traveler con el fin de inhabilitar la autenticación por formularios.