集成 Exchange Server 或 IBM Notes Traveler 服务器
为了使 Secure Mail 与邮件服务器保持同步,可以将 Secure Mail 与位于内部网络中或 Citrix Gateway 后面的 Exchange Server 或 IBM Notes Traveler 服务器相集成。
- 要配置 Secure Mail 的后台服务,请参阅:Secure Mail 的后台服务。
- 要为 Secure Mail 配置 IBM Notes Traveler 服务器,请参阅:为 Secure Mail 配置 IBM Notes Traveler 服务器。
重要提示:
无法将 Secure Mail 中的邮件与 IBM Notes Traveler(以前称为 IBM Lotus Notes Traveler)同步。此 Lotus Notes 第三方功能当前不受支持。因此,举例而言,当您从 Secure Mail 中删除会议邮件时,将不在 IBM Notes Traveler 服务器上删除该邮件。[CXM-47936]
同步还适用于 Secure Notes 和 Secure Tasks。但请注意,Secure Notes 和 Secure Tasks 已于 2018 年 12 月 31 日达到生命周期结束 (EOL) 状态。有关详细信息,请参阅 EOL 和已弃用的应用程序。
- 要同步 Secure Notes for iOS,请将其与 Exchange Server 集成。
- 要将 Secure Notes 与 Secure Tasks for Android 同步,请使用 Secure Mail for Android 帐户。
将 Secure Mail、Secure Notes 和 Secure Tasks 添加到 Citrix Endpoint Management(以前称为 XenMobile)后,请按配置后台服务的 MDX 应用程序策略中所述配置 MDX 策略。
注意:
Secure Mail for Android 和 Secure Mail for iOS 支持为 Notes Traveler 服务器指定的完整路径。例如:
https://mail.example.com/traveler/Microsoft-Server-ActiveSync
。无需再为 Traveler 服务器配置带有 Web 站点替换规则的 Domino Directory。
为 Secure Mail 配置 IBM Notes Traveler 服务器
在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 Secure Mail。本节提供了此配置的部署图和系统要求。
重要提示:
如果您的 Notes Traveler 服务器使用 SSL 3.0,则请注意,SSL 3.0 包含一个名为 Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻击的漏洞,这是一种中间人攻击,影响连接到使用 SSL 3.0 的服务器的任何应用程序。为了解决 POODLE 攻击引入的漏洞,Secure Mail 默认禁用 SSL 3.0 连接,并使用 TLS 1.0 连接到服务器。因此,Secure Mail 无法连接到使用 SSL 3.0 的 Notes Traveler 服务器。有关建议的解决方法的详细信息,请参阅集成 Exchange Server 或 IBM Notes Traveler 服务器中的“配置 SSL/TLS 安全级别”部分。
在 IBM Notes 环境中,必须先配置 IBM Notes Traveler 服务器才能部署 Secure Mail。
下图显示了一个示例部署中 IBM Notes Traveler 服务器和 IBM Domino 邮件服务器的网络部署情况。
系统要求
基础结构服务器要求
- IBM Domino 邮件服务器 9.0.1
- IBM Notes Traveler 9.0.1
身份验证协议
- Domino 数据库
- Lotus Notes 身份验证协议
- 轻型目录身份验证协议
端口要求
- Exchange:默认 SSL 端口为 443。
- IBM Notes:使用端口 443 支持 SSL。默认情况下,使用端口 80 支持非 SSL。
配置 SSL/TLS 安全级别
Citrix 对 Secure Mail 进行了修改,解决了前面“重要”注意事项中所述的 POODLE 攻击引入的漏洞。如果您的 Notes Traveler 服务器使用 SSL 3.0,因此,要启用连接,建议的解决方法是在 IBM Notes Traveler Server 9.0 上使用 TLS 1.2。
IBM 发布了一款修补程序,用于阻止在 Notes Traveler 安全服务器到服务器通信中使用 SSL 3.0。该修补程序于 2014 年 11 月发布,作为以下 Notes Traveler 服务器版本的中间修复更新包含在内:9.0.1 IF7、9.0.0.1 IF8 和 8.5.3 Upgrade Pack 2 IF8(将包含在所有将来的版本中)。
另一个解决方法:将 Secure Mail 添加到 Endpoint Management 中时,请将“连接安全级别”策略更改为 SSLv3 和 TLS。有关此问题的最新信息,请参阅 SSLv3 Connections Disabled by Default on Secure Mail 10.0.3(在 Secure Mail 10.0.3 上默认禁用 SSLv3 连接)。
下表基于“连接安全级别”策略值,按操作系统指出了 Secure Mail 支持的协议。您的邮件服务器必须也可以协商协议。
下表显示了连接安全级别为 SSLv3 和 TLS 时 Secure Mail 支持的协议。
操作系统类型 | SSLv3 | TLS |
---|---|---|
iOS 9 及更高版本 | 否 | 是 |
Android M 之前的版本 | 是 | 是 |
Android M 和 Android N | 是 | 是 |
Android O | 否 | 是 |
下表显示了连接安全级别为 TLS 时 Secure Mail 支持的协议。
操作系统类型 | SSLv3 | TLS |
---|---|---|
iOS 9 及更高版本 | 否 | 是 |
Android M 之前的版本 | 否 | 是 |
Android M 和 Android N | 否 | 是 |
Android O | 否 | 是 |
配置 Notes Traveler 服务器
以下信息与 IBM Domino Administrator 客户端中的配置页面相对应。
- 安全: Internet 身份验证设置为“Fewer name variations with higher security”(名称变化更少,安全性更高)。此设置用于将 UID 映射到 LDAP 身份验证协议中的 AD User ID(AD 用户 ID)。
- NOTES.INI 设置: 添加 NTS_AS_ENFORCE_POLICY=false。这样可以让 Secure Mail 策略受 Endpoint Management 管理,而不是受 Traveler 管理。此设置可能与当前的客户部署冲突,但会简化 Endpoint Management 部署中设备的管理。
- 同步协议: Secure Mail 当前不支持在 IBM Notes 上使用同步协议 SyncML 以及执行移动设备同步。Secure Mail 通过 Traveler 服务器中内置的 Microsoft ActiveSync 协议同步“邮件”、“日历”和“联系人”项目。如果将 SyncML 强制作为主要协议,则 Secure Mail 不能通过 Traveler 基础结构回连。
- Domino 目录配置 - Web Internet 站点: 覆盖 /traveler 的“会话身份验证”,以禁用基于表单的身份验证。