Поделиться через


Настройка стандартных методов проверки подлинности для веб-клиента Outlook

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2006-09-05

В этом разделе описываются стандартные методы проверки подлинности, помогающие защитить компьютеры, на которых выполняется Microsoft Exchange Server 2007 и установлена роль сервера клиентского доступа для Microsoft Office Outlook Web Access.

В Exchange 2007 серверы клиентского доступа поддерживают интегрированную проверку подлинности Windows и краткую проверку подлинности по протоколу HTTP 1.1 для виртуальных каталогов Exchange 2007. Виртуальные каталоги Exchange 2000 и Exchange 2003 на сервере, на котором выполняется только роль сервера клиентского доступа, поддерживают только обычную проверку подлинности и проверку подлинности на основе форм.

noteПримечание.
Фоновые серверы Exchange Server 2003 поддерживают проверку подлинности на основе форм, а также обычную, интегрированную Windows и краткую проверки подлинности. Серверы переднего плана Exchange Server 2003 не поддерживают ни интегрированную Windows, ни краткую проверку подлинности.

Стандартные методы проверки подлинности

В этой части описываются стандартные методы проверки подлинности. Стандартные методы проверки подлинности включают обычную, краткую и интегрированную Windows проверки подлинности.

noteПримечание.
По умолчанию Exchange 2007 включает проверку подлинности на основе форм.

Обычная проверка подлинности

Обычная проверка подлинности — это простой механизм проверки подлинности, определяемый спецификацией протокола HTTP, который кодирует имя пользователя для входа в систему и его пароль до отправки учетных данных пользователя на сервер.

Обычная проверка подлинности не поддерживает возможность единого входа. Проверка подлинности Microsoft Windows Server 2003 обеспечивает возможность единого входа на все сетевые ресурсы. С помощью единого входа пользователь может войти в домен один раз, используя единый пароль или смарт-карту, и пройти проверку подлинности на любом компьютере в домене.

Обычная проверка подлинности поддерживается всеми веб-обозревателями, но не является защищенной, если не запрашивается SSL-шифрование (Secure Sockets Layer).

Краткая проверка подлинности

При краткой проверке подлинности пароли передаются по сети в виде хеш-значений для обеспечения дополнительной защиты. Краткая проверка подлинности может использоваться только в доменах Windows Server 2003 и Windows 2000 Server для пользователей, имеющих учетные записи, которые хранятся в службе каталогов Active Directory. Дополнительные сведения о краткой проверке подлинности см. в документации по Windows Server 2003 и диспетчеру служб IIS.

Краткая проверка подлинности доступна только в виртуальных каталогах Exchange 2007 .

importantВажно!
Когда пользователь пользуется киоском и применяется краткая или обычная проверка подлинности, кэширование учетных данных может создать угрозу безопасности, если пользователь не сможет закрыть обозреватель и закончить процесс обозревателя между сеансами. Эта угроза безопасности возникает, потому что учетные данные пользователя остаются в кэше, когда следующий пользователь получает доступ к киоску. Чтобы включить Outlook Web Access для киоска, убедитесь, что пользователь может закрыть обозреватель между сеансами и закончить процесс обозревателя. В противном случае рассмотрите возможность применения стороннего продукта, включающего в свой состав двухфакторную проверку подлинности, в процессе выполнения которой пользователь должен предоставить физическое средство идентификации вместе с паролем для использования Outlook Web Access в киоске.

Интегрированная проверка подлинности Windows

При интегрированной проверке подлинности Windows пользователи должны иметь допустимые имя и пароль пользовательской учетной записи Windows 2000 Server или Windows Server 2003, чтобы получить доступ к сведениям. Пользователи, регистрирующиеся в локальной сети, не получают приглашения на ввод имен пользователей и паролей. Вместо этого сервер осуществляет согласование с пакетами безопасности Windows, которые установлены на клиентском компьютере. Этот метод включает сервер для проверки подлинности пользователей, не запрашивая у них сведения о регистрации. Учетные данные для проверки подлинности защищены, однако, все другие сообщения отправляются в текстовом формате, если не испоьзуется SSL .

Microsoft Internet Explorer допускает возможность единого входа для веб-приложений, содержащих веб-части Outlook Web Access, если на сервере, к которому осуществляется доступ, включена интегрированная проверка подлинности Windows. Пользователи должны ввести учетные данные только один раз для каждого сеанса работы с обозревателем. Однако их учетные данные кэшируются в процессе обозревателя.

На сервере Exchange 2007, выполняющем роль сервера клиентского доступа, интегрированная проверка подлинности Windows может использоваться только с помощью виртуальных каталогов Exchange 2007. На сервере, которому присвоена как роль клиентского доступа, так и роль почтового ящика, интегрированная проверка подлинности Windows может использоваться с помощью любого виртуального каталога. Дополнительные сведения об интегрированной проверки подлинности Windows см. в документации Windows Server 2003.

noteПримечание.
Интегрированная проверка подлинности Windows поддерживается только на компьютерах, на которых установлена операционная система Windows и выполняется Internet Explorer. Интегрированная проверка подлинности Windows может работать с другими веб-обозревателями, если они настроены на передачу пользовательских учетных данных на сервер, запрашивающий проверку подлинности.

Дополнительные сведения