Exchange Server 또는 IBM Notes Traveler 서버 통합

Secure Mail이 Microsoft Exchange 또는 IBM Notes와 계속 동기화되도록 하려면 내부 네트워크에 있거나 NetScaler Gateway 뒤에 있는 Exchange Server 또는 IBM Notes Traveler 서버와 Secure Mail을 통합하면 됩니다.

중요:

Secure Mail의 메일을 IBM Notes Traveler(이전의 IBM Lotus Notes Traveler)와 동기화할 수 없습니다. 이 Lotus Notes 타사 기능은 현재 지원되지 않습니다. 따라서 예를 들어 Secure Mail에서 회의 메일을 삭제하는 경우 IBM Notes Traveler 서버에서 메일이 삭제되지 않습니다. [CXM-47936]

동기화는 Secure Notes와 Secure Tasks에 대해서도 다음과 같이 가능합니다.

  • iOS용 Secure Notes를 Exchange Server와 통합할 수 있습니다.
  • Android용 Secure Notes 및 Android용 Secure Tasks는 Android용 Secure Mail 계정을 사용하여 Exchange 메모 및 작업을 동기화합니다.

중요:

Secure Mail의 메일을 IBM Notes Traveler(이전의 IBM Lotus Notes Traveler)와 동기화할 수 없습니다. 이 Lotus Notes 타사 기능은 현재 지원되지 않습니다. 따라서 Secure Mail에서 회의 응답 메일을 삭제하는 경우 IBM Notes Traveler 서버에서 메일이 삭제되지 않습니다. [CXM-47936] IBM/Lotus Notes의 알려진 제한 사항을 알아보려면 이 Citrix 블로그 게시물을 참조하십시오.

Secure Mail, Secure Notes 및 Secure Tasks를 Endpoint Management(이전 명칭: XenMobile)에 추가하는 경우, Exchange 또는 IBM Notes와의 통합을 위해 다음 MDX 정책을 구성하십시오.

  • Secure Mail의 경우: Secure Mail Exchange Server 정책을 Exchange Server 또는 IBM Notes Traveler 서버의 FQDN(정규화된 도메인 이름)으로 설정합니다.

    Notes Traveler 서버에 대한 연결을 지정하기 위한 Secure Mail 요구 사항은 플랫폼별로 다르며, 다음과 같습니다.

    Android용 Secure Mail 및 iOS용 Secure Mail은 Notes Traveler 서버에 지정된 전체 경로를 지원합니다. 예: https://mail.example.com/traveler/Microsoft-Server-ActiveSync. 이제 Traveler 서버를 위한 웹 사이트 대체 규칙으로 Domino Directory를 구성하지 않아도 됩니다.

  • Secure Notes 및 Secure Tasks의 경우: Secure Notes Exchange Server, Secure Notes 사용자 도메인, Secure Tasks Exchange Server 및 Secure Tasks 사용자 도메인 정책에 대해 값을 지정합니다.

다음 MDX 정책은 Secure Mail 통신 흐름에 영향을 미칩니다.

네트워크 액세스: 네트워크 액세스 정책은 네트워크 액세스에 대한 제한 적용 여부를 지정합니다. 기본적으로 Secure Mail 액세스는 내부 네트워크로 터널링되므로 네트워크 액세스에 대한 제한이 적용되지 않고 앱은 장치가 연결된 네트워크에 제한 없이 액세스할 수 있습니다. 네트워크 액세스 정책은 다음과 같이 백그라운드 네트워크 서비스 정책과 상호 작용합니다.

백그라운드 네트워크 서비스: 백그라운드 네트워크 서비스 정책은 백그라운드 네트워크 액세스에 대해 허용되는 서비스 주소를 지정합니다. 서비스 주소는 내부 네트워크에 있거나 Secure Mail이 연결하는 다른 네트워크에 있는 Exchange Server 또는 ActiveSync 서버의 주소일 수 있습니다(예: mail.example.com:443).

백그라운드 네트워크 서비스 정책을 구성하는 경우 네트워크 액세스 정책 또한 내부 네트워크로 터널링됨으로 설정합니다. 백그라운드 네트워크 서비스 정책은 네트워크 액세스 정책을 구성할 때 적용됩니다.

백그라운드 네트워크 서비스 게이트웨이: 백그라운드 네트워크 서비스 게이트웨이 정책은 내부 Exchange Server에 연결하기 위해 Secure Mail이 사용하는 NetScaler Gateway를 지정합니다. 대체 게이트웨이 주소를 지정하는 경우 네트워크 액세스 정책을 내부 네트워크로 터널링됨으로 설정합니다. 백그라운드 네트워크 서비스 게이트웨이 정책은 네트워크 액세스 정책을 구성할 때 적용됩니다.

백그라운드 서비스 티켓 만료: 백그라운드 서비스 티켓 만료 정책은 백그라운드 네트워크 서비스 티켓이 유효한 기간을 지정합니다. Secure Mail이 NetScaler Gateway를 통해 ActiveSync를 실행하는 Exchange Server에 연결하는 경우 Endpoint Management에서 Secure Mail이 내부 Exchange Server에 연결하는 데 사용할 토큰을 발급합니다. 이 설정에 따라 Secure Mail이 인증 및 Exchange Server에 대한 연결에 사용할 새 토큰을 요구하지 않고 토큰을 사용할 수 있는 기간이 결정됩니다. 시간 제한이 만료되면 사용자가 다시 로그온해야 새 토큰이 생성됩니다. 기본값은 168시간(7일)입니다.

다음 그림은 메일 서버로의 Secure Mail 연결 유형을 보여 줍니다. 각 그림 뒤에는 관련된 정책 설정의 목록이 나와 있습니다.

메일 서버로의 Secure Mail 연결의 이미지

메일 서버로의 직접 연결에 대한 정책:

  • 네트워크 액세스: 제한 없음
  • 백그라운드 네트워크 서비스: 비어 있음
  • 백그라운드 서비스 티켓 만료: 168
  • 백그라운드 네트워크 서비스 게이트웨이: 비어 있음

마이크로 VPN을 사용하는 Secure Mail의 이미지

메일 서버로의 직접 연결에 대한 정책:

  • 네트워크 액세스 - 내부 네트워크로 터널링됨
  • 백그라운드 네트워크 서비스: 비어 있음
  • 백그라운드 서비스 티켓 만료: 168
  • 백그라운드 네트워크 서비스 게이트웨이: 비어 있음

STA를 사용하는 Secure Mail의 이미지

메일 서버로의 STA 액세스에 대한 정책:

  • 네트워크 액세스 - 내부 네트워크로 터널링됨
  • 백그라운드 네트워크 서비스: mail.example.com: 443
  • 백그라운드 서비스 티켓 만료: 168
  • 백그라운드 네트워크 서비스 게이트웨이: gateway3.example.com:443

다음 그림은 해당 정책이 어디에 적용되는지 보여 줍니다.

정책 및 정책이 적용되는 위치의 이미지

Secure Mail을 위한 IBM Notes Traveler 서버 구성

IBM Notes 환경에서는 Secure Mail을 배포하기 전에 IBM Notes Traveler 서버를 구성해야 합니다. 이 섹션에서는 이 구성에 대한 배포 이미지 및 시스템 요구 사항을 보여 줍니다.

중요:

Notes Traveler 서버에서 SSL 3.0을 사용하는 경우, SSL 3.0에는 SSL 3.0을 사용하여 서버에 연결하는 앱에 영향을 미치는 메시지 가로채기(man-in-the-middle) 공격의 일종인 POODLE(Padding Oracle On Downgraded Legacy Encryption) 공격이라고 하는 취약점이 있다는 것에 유의하십시오. POODLE 공격으로 인한 취약점을 해결하기 위해 Secure Mail은 기본적으로 SSL 3.0 연결이 사용되지 않도록 설정하고 TLS 1.0을 사용하여 서버에 연결합니다. 따라서 Secure Mail은 SSL 3.0을 사용하는 Notes Traveler 서버에 연결할 수 없습니다. 권장되는 해결 방법에 대한 자세한 내용은 Exchange Server 또는 IBM Notes Traveler 서버 통합에서 SSL/TLS 보안 수준 구성 섹션을 참조하십시오.

IBM Notes 환경에서는 Secure Mail을 배포하기 전에 IBM Notes Traveler 서버를 구성해야 합니다.

다음 다이어그램은 샘플 배포에서의 IBM Notes Traveler 서버 및 IBM Domino 메일 서버의 네트워크 배치를 보여 줍니다.

XenMobile을 사용하는 IBM Notes Traveler 서버 및 IBM Domino 메일 서버 배포의 이미지

시스템 요구 사항

인프라 서버 요구 사항

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

인증 프로토콜

  • Domino 데이터베이스
  • Lotus Notes 인증 프로토콜
  • Lightweight Directory 인증 프로토콜

포트 요구 사항

  • Exchange: 기본 SSL 포트는 443입니다.
  • IBM Notes: SSL은 포트 443에서 지원됩니다. 비SSL은 기본적으로 포트 80에서 지원됩니다.

SSL/TLS 보안 수준 구성

Citrix는 위의 중요 참고 사항에서 설명된 POODLE 공격으로 인한 취약점을 해결하기 위해 Secure Mail을 수정했습니다. Notes Traveler 서버가 SSL 3.0을 사용하는 경우 연결이 사용되도록 하려면 IBM Notes Traveler 서버 9.0에서 TLS 1.2를 사용하여 문제를 해결하는 것이 좋습니다.

IBM은 Notes Traveler의 서버 간 보안 통신에서 SSL 3.0이 사용되는 것을 방지하기 위한 패치를 제공합니다. 2014년 11월에 릴리스된 이 패치는 Notes Traveler 서버 버전 9.0.1 IF7, 9.0.0.1 IF8 및 8.5.3 업그레이드 팩 2 IF8에 임시 픽스 업데이트로 포함되어 있으며, 향후의 모든 릴리스에 포함될 예정입니다. 이 패치에 대한 자세한 내용은 LO82423: DISABLE SSLV3 FOR Traveler 서버 TO SERVER COMMUNICATION(LO82423: TRAVELER 서버 간 통신에 SSLV3이 사용되지 않도록 설정)을 참조하십시오.

또 다른 해결 방법은 Secure Mail을 Endpoint Management에 추가할 때 연결 보안 수준 정책을 SSLv3 및 TLS로 변경하는 것입니다. 이 문제에 대한 최신 정보는 SSLv3 Connections Disabled by Default on Secure Mail 10.0.3(Secure Mail 10.0.3에서 기본적으로 사용 안 함으로 설정되는 SSLv3 연결)을 참조하십시오.

다음 표에는 Secure Mail에서 지원하는 프로토콜이 연결 보안 수준 정책 값에 따라 운영 체제별로 나와 있습니다. 또한 메일 서버는 프로토콜을 협상할 수 있어야 합니다.

다음 표에 연결 보안 수준이 SSLv3 및 TLS인 경우 Secure Mail에 대해 지원되는 프로토콜이 나와 있습니다.

운영 체제 유형 SSLv3 TLS
iOS 9 이전
iOS 9 이상 아니요
Android M 이전
Android M 및 Android N
Android O 아니요

다음 표에는 연결 보안 수준이 TLS인 경우에 Secure Mail에 대해 지원되는 프로토콜이 나와 있습니다.

운영 체제 유형 SSLv3 TLS
iOS 9 이전 아니요
iOS 9 이상 아니요
Android M 이전 아니요
Android M 및 Android N 아니요
Android O 아니요

Notes Traveler 서버 구성

다음 정보는 IBM Domino Administrator 클라이언트의 구성 페이지에 관한 것입니다.

  • 보안: 인터넷 인증은 Fewer name variations with higher security(보안 강화를 위해 이름 변형을 거의 허용 안 함)으로 설정되어 있습니다. 이 설정은 LDAP 인증 프로토콜에서 UID를 AD 사용자 ID에 매핑하는 데 사용됩니다.
  • NOTES.INI 설정: NTS_AS_ENFORCE_POLICY=false를 추가합니다. 이렇게 하면 Secure Mail 정책을 Traveler 대신 Endpoint Management에서 관리할 수 있습니다. 이 설정은 현재의 고객 측 배포와 충돌할 수 있지만, Endpoint Management 배포에서의 장치 관리를 간소화합니다.
  • 동기화 프로토콜: IBM Notes의 SyncML 및 모바일 장치 동기화는 현재 Secure Mail에서 지원되지 않습니다. Secure Mail 동기화는 Traveler 서버에 내장된 Microsoft ActiveSync 프로토콜을 통해 메일, 일정 및 연락처 항목을 동기화합니다. SyncML이 기본 프로토콜로 적용되는 경우 Secure Mail은 Traveler 인프라를 통해 다시 연결할 수 없습니다.
  • Domino 디렉터리 구성 - 웹 인터넷 사이트: Traveler에서 양식 기반 인증이 사용되지 않도록 세션 인증을 재정의합니다.

Exchange Server 또는 IBM Notes Traveler 서버 통합