Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Outlook 2016 для Mac поддерживает протокол Kerberos в качестве метода проверки подлинности с помощью Microsoft Exchange Server и автономных учетных записей LDAP. Протокол Kerberos использует криптографию для обеспечения безопасной взаимной проверки подлинности для сетевого подключения между клиентом и сервером или между двумя серверами.
Протокол Kerberos основан на запросе. В этой схеме клиент должен указать допустимое имя пользователя и пароль только один раз, чтобы подтвердить свое удостоверение на сервере проверки подлинности. Затем сервер проверки подлинности предоставляет зашифрованные клиентом билеты, содержащие сведения о клиенте и ключ сеанса, срок действия которого истекает после указанного периода времени. Затем клиент пытается расшифровать билет с помощью пароля. Если клиент успешно расшифровывает билет, он сохраняет билет, который теперь предоставляется клиенту и серверу. Этот расшифрованный билет указывает подтверждение удостоверения клиента и используется для проверки подлинности клиента. Метка времени, включенная в билет, указывает, что это недавно созданный билет и не является атакой воспроизведения. Если злоумышленник пытается записать и расшифровать информацию в билете, нарушение будет ограничено текущим сеансом. Клиент может использовать тот же билет в сети для запроса других сетевых ресурсов. Чтобы использовать эту схему билетов, клиент и сервер должны иметь надежное подключение к центру распространения ключей домена (KDC).
Mac OS X включает встроенную поддержку проверки подлинности Microsoft Kerberos и политик проверки подлинности Active Directory, таких как изменение пароля, истечение срока действия и принудительное изменение пароля, а также репликация Active Directory и отработка отказа. Используя службу Kerberos Mac OS X, Outlook для Mac использует механизм единого входа для улучшения обработки паролей и более чистой настройки.
Преимущества использования проверки подлинности Kerberos
Kerberos обеспечивает безопасный, единый вход, доверенный сторонний поставщик взаимной проверки подлинности.
Secure Kerberos является безопасным, так как он не передает пароли по сети в виде ясного текста.
единый вход конечным пользователям необходимо войти только один раз, чтобы получить доступ ко всем сетевым ресурсам, поддерживающим проверку подлинности Kerberos. После того как пользователь проходит проверку подлинности через Kerberos в начале сеанса входа, их учетные данные прозрачно передаются каждому ресурсу, к которому они обращаются в течение дня.
доверенный сторонний Kerberos работает через централизованный сервер проверки подлинности, который все системы в сети по сути доверяют. Все запросы проверки подлинности направляются через централизованный сервер Kerberos.
взаимная проверка подлинности Защищает конфиденциальность конфиденциальной информации путем проверки удостоверения пользователя и удостоверения сервера, с которым они взаимодействуют.
Проверка подлинности Kerberos и Outlook
Необходимо определить тип проверки подлинности, используемой сервером Exchange в вашей организации. Протокол Kerberos или другие поддерживаемые методы проверки подлинности: NTLM, обычная проверка подлинности или проверка подлинности на основе форм для сервера Exchange. В Outlook для Mac у вас нет контроля над типом методов проверки подлинности, которые пользователи выбирают. Вы должны попросить пользователей выбрать проверку подлинности Kerberos, если сервер Exchange в вашей организации использует его, и их компьютеры подключены к корпоративной сети.
При настройке учетной записи Exchange в Outlook для Mac необходимо щелкнуть Kerberos в всплывающем меню метода или для всех других типов проверки подлинности щелкните имя пользователя и пароль. При выборе метода проверки подлинности Kerberos имя пользователя (включающее домен) и поля паролей скрыты. Если протокол Kerberos включен, он используется для попытки проверки подлинности на всех серверах, связанных с учетной записью, например HTTP или LDAP. Если протокол Kerberos отключен в параметрах учетной записи, проверка подлинности Kerberos не будет предпринята ни на одном из серверов, связанных с учетной записью.
Для новых учетных записей Exchange протокол Kerberos отключен по умолчанию с None выбран в всплывающем меню идентификатор Kerberos. При включении протокола Kerberos Outlook для Mac позволяет пользователю выбрать или создать действительный идентификатор Kerberos. Если учетная запись создается с помощью автоматического набора данных, идентификатор Kerberos всплывающее меню заполняется существующим идентификатором. Протокол Kerberos пытается выполнить автоматическое определение на серверах, если в кэше учетных данных Mac OS X присутствует хотя бы один билет Kerberos или _kerberos._tcp.<запись> домена доступна на сервере доменных имен (DNS). Если процесс автоопределений выполнен успешно, запрос заполняется в всплывающем меню идентификатора Kerberos учетной записи. Если процесс автоматического набора данных не включает успешную проверку подлинности Kerberos, параметр Kerberos учетной записи будет отключен, а всплывающее меню Kerberos идентификатор Kerberos установлено значение None.
Чтобы создать новый идентификатор Kerberos, выберите ссылку Создать новый идентификатор Kerberos. При появлении запроса укажите имя пользователя и пароль нового идентификатора Kerberos.
Если установлен флажок Помнить пароль в цепочке ключей, указанные учетные данные будут кэшироваться в цепочке ключей и будут использоваться для продления билета 15 минут до истечения срока его действия.
Проверка подлинности Kerberos для администраторов
Проверка подлинности Kerberos может завершиться ошибкой, если основной почтовый сервер учетной записи не поддерживает протокол Kerberos или если KDC завершается сбоем. Чтобы убедиться, что пользователи успешно проходят проверку подлинности с помощью протокола Kerberos, необходимо убедиться, что KDC работает и работает для доступа к различным сетевым службам. В корпоративных и критически важных средах администраторы важно создать по крайней мере один KDC отработки отказа.
Если проверка подлинности Kerberos завершается сбоем, Outlook для Mac предоставляет возможность использования других поддерживаемых механизмов проверки подлинности. Типы методов проверки подлинности, доступные для учетных записей электронной почты Microsoft Exchange, могут отличаться в зависимости от того, выполняется ли проверка подлинности на интерфейсном сервере или на сервере серверной части.