Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Outlook 2016 per Mac supporta il protocollo Kerberos come metodo di autenticazione con Microsoft Exchange Server e account LDAP autonomi. Il protocollo Kerberos usa la crittografia per fornire l'autenticazione reciproca sicura per una connessione di rete tra un client e un server o tra due server.
Il protocollo Kerberos si basa sul ticketing. In questo schema, un client deve fornire un nome utente e una password validi una sola volta per dimostrare la propria identità a un server di autenticazione. Il server di autenticazione concede quindi i ticket crittografati client che includono le informazioni client e la chiave di sessione che scade dopo un periodo di tempo specificato. Il client tenta quindi di decrittografare il ticket usando la relativa password. Se il client decrittografa correttamente il ticket, mantiene il ticket, che ora è condiviso dal client e dal server. Questo ticket decrittografato indica la prova dell'identità del client e viene usato per autenticare il client. Il timestamp incluso nel ticket indica che si tratta di un ticket generato di recente e non è un attacco di riproduzione. Se un utente malintenzionato tenta di acquisire e decrittografare le informazioni in un ticket, la violazione sarà limitata alla sessione corrente. Il client può usare lo stesso ticket nella rete per richiedere altre risorse di rete. Per usare questo schema di creazione di ticket, sia il client che il server devono avere una connessione attendibile al Centro distribuzione chiavi di dominio (KDC).
Mac OS X include il supporto predefinito per l'autenticazione Kerberos Microsoft e i criteri di autenticazione di Active Directory, ad esempio modifiche alle password, alla scadenza e alle modifiche forzate delle password e replica e failover di Active Directory. Sfruttando il servizio Kerberos mac OS X, Outlook per Mac usa il meccanismo di accesso Single Sign-On per offrire una migliore gestione delle password e un'esperienza di configurazione più pulita.
Vantaggi dell'uso dell'autenticazione Kerberos
Kerberos offre un servizio di autenticazione reciproca sicuro e sicuro per l'accesso Single Sign-On, di terze parti attendibile.
Secure Kerberos è sicuro perché non trasmette le password in rete in testo non crittografato.
l'accesso Single Sign-On Gli utenti finali devono accedere una sola volta per accedere a tutte le risorse di rete che supportano l'autenticazione Kerberos. Dopo che un utente viene autenticato tramite Kerberos all'inizio di una sessione di accesso, le credenziali vengono passate in modo trasparente a ogni risorsa a cui accede durante il giorno.
Trusted third-party Kerberos funziona tramite un server di autenticazione centralizzato che tutti i sistemi della rete considerano intrinsecamente attendibili. Tutte le richieste di autenticazione vengono instradate tramite il server Kerberos centralizzato.
Autenticazione reciproca Protegge la riservatezza delle informazioni riservate verificando l'identità di un utente e l'identità del server con cui comunicano.
Autenticazione Kerberos e Outlook
È necessario determinare il tipo di autenticazione utilizzato dal server Exchange dell'organizzazione. È possibile usare il protocollo Kerberos o gli altri metodi di autenticazione supportati: NTLM, autenticazione di base o autenticazione basata su form per il server Exchange. In Outlook per Mac non si ha il controllo sul tipo di metodi di autenticazione scelti dagli utenti. È consigliabile chiedere agli utenti di scegliere l'autenticazione Kerberos se il server Exchange dell'organizzazione lo usa e i relativi computer sono connessi alla rete aziendale.
Quando si configura l'account di Exchange in Outlook per Mac, è necessario fare clic Kerberos nel menu a comparsa metodo oppure per tutti gli altri tipi di autenticazione, fare clic su Nome utente e Password. Quando si sceglie il metodo di autenticazione Kerberos, i campi Nome utente (che include il dominio) e i campi Password sono nascosti. Quando il protocollo Kerberos è abilitato, viene usato per tentare l'autenticazione su tutti i server correlati all'account, ad esempio HTTP o LDAP. Quando il protocollo Kerberos è disabilitato nelle impostazioni dell'account, l'autenticazione Kerberos non verrà tentata su uno dei server correlati all'account.
Per i nuovi account di Exchange, il protocollo Kerberos è disabilitato per impostazione predefinita con Nessuna selezionata nel menu a comparsa ID Kerberos. Quando si abilita il protocollo Kerberos, Outlook per Mac consente all'utente di scegliere o creare un ID Kerberos valido. Se l'account viene creato usando la correzione automatica, l'ID Kerberos menu a comparsa viene popolato con l'ID esistente. Il protocollo Kerberos tenta di eseguire la correzione automatica nei server se è presente almeno un ticket Kerberos nella cache delle credenziali di Mac OS X o un _kerberos._tcp.<record> di dominio è disponibile dal dns (Domain Name Server). Se il processo di correzione automatica ha esito positivo, il ticket viene popolato nel menu a comparsa ID Kerberos dell'account. Se il processo di correzione automatica non include un'autenticazione Kerberos riuscita, l'impostazione Kerberos dell'account verrà disabilitata e menu a comparsa ID Kerberos è impostato su Nessuno.
Per creare un nuovo ID Kerberos, scegliere il collegamento Crea un nuovo ID Kerberos. Specificare il nome utente e la password del nuovo ID Kerberos quando richiesto.
Se la casella di controllo Memorizza password nel keychain è selezionata, le credenziali specificate verranno memorizzate nella cache nel portachiavi e verranno usate per rinnovare il ticket 15 minuti prima della scadenza.
Autenticazione Kerberos per amministratori
L'autenticazione Kerberos potrebbe non riuscire se il server cassette postali primarie dell'account non supporta il protocollo Kerberos o se il KDC non riesce. Per assicurarsi che gli utenti siano autenticati correttamente usando il protocollo Kerberos, è necessario assicurarsi che il KDC sia attivo e in esecuzione per consentire agli utenti di accedere ai diversi servizi di rete. Negli ambienti aziendali e cruciali è importante che gli amministratori creino almeno un KDC di failover.
Quando l'autenticazione Kerberos non riesce, Outlook per Mac offre la possibilità di usare gli altri meccanismi di autenticazione supportati. I tipi di metodi di autenticazione disponibili per gli account di posta elettronica di Microsoft Exchange possono variare a seconda che l'autenticazione venga eseguita in un server front-end o in un server back-end.