管理 Outlook Web Access 安全性
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-11-13
本主题介绍身份验证方法,这些方法可用于帮助保护已安装了客户端访问服务器角色的 Microsoft Exchange Server 2007 计算机上的 Microsoft Office Outlook Web Access。
身份验证方法
Exchange Server 2007 中的客户端访问服务器与 Exchange Server 2003 中的前端服务器相比,可支持更多的身份验证方法。可在 Exchange 2007 客户端访问服务器上配置下列类型的身份验证方法:
标准
基于表单的身份验证
另外,可使用下列形式的身份验证(在本主题的末尾会更加详细地讨论这些形式的身份验证):
基于 ISA 服务器表单的身份验证
智能卡和证书身份验证
RSASecureID 身份验证
标准身份验证和基于表单的身份验证
可使用 Exchange 管理控制台或 Exchange 命令行管理程序为 Outlook Web Access 配置标准身份验证方法和基于表单的身份验证方法。
标准身份验证方法 标准身份验证方法包括集成 Windows 身份验证、摘要式身份验证和基本身份验证。有关如何配置标准身份验证方法的详细信息,请参阅为 Outlook Web Access 配置标准身份验证方法。
基于表单的身份验证 基于表单的身份验证将为 Outlook Web Access 创建登录页面。基于表单的身份验证使用 Cookie 存储已加密的用户登录凭据和密码信息。有关基于表单的身份验证的详细信息,请参阅为 Outlook Web Access 配置基于表单的身份验证。
.gif "note")
注意:如果配置了多种身份验证方法,Internet 信息服务 (IIS) 将首先使用限制最为严格的方法。然后,IIS 从限制最为严格的协议开始搜索可用身份验证协议列表,直到找到客户端和服务器支持的身份验证方法。
标准身份验证方法和基于表单的身份验证方法的比较
表 1 使用安全级别、用户登录凭据处理和客户端要求为条件,比较了标准身份验证方法和基于表单的身份验证方法。
表 1 标准身份验证与基于表单的身份验证的比较
| 身份验证方法 | 安全级别 | 发送密码的方式 | 客户端要求 |
|---|---|---|---|
基本身份验证 |
低(启用了安全套接字层 (SSL) 时除外) |
Base 64 编码的明文 |
所有浏览器均支持基本身份验证。 |
摘要式身份验证 |
中等 |
使用 MD5 进行哈希处理。 |
Microsoft Internet Explorer 5 或更高版本 |
集成 Windows 身份验证 |
低(启用了 SSL 时除外) |
使用集成 Windows 身份验证时进行哈希处理;使用 Kerberos 时进行 Kerberos 票证处理。集成 Windows 身份验证包括 Kerberos 身份验证方法和 NTLM 身份验证方法。 |
集成 Windows 身份验证要求 Internet Explorer 2.0 或更高版本。 Kerberos 身份验证要求带有 Internet Explorer 5 或更高版本的 Microsoft Windows 2000 Server 或更高版本。 |
基于表单的身份验证 |
高 |
对用户身份验证信息加密并将其存储在 Cookie 中。需要使用 SSL 以保持 Cookie 安全。 |
Internet Explorer |
其他身份验证方法
还有其他可用于帮助保护 Outlook Web Access 安全的身份验证方法。这些方法包括:
基于 ISA 服务器表单的身份验证 使用 ISA 服务器,可使用邮件服务器发布规则安全地发布 Outlook Web Access 服务器。使用 ISA 服务器还可配置基于表单的身份验证和控制电子邮件附件的可用性,以便在通过 Outlook Web Access 访问组织中的资源时帮助保护这些资源。有关如何使用 ISA 服务器作为高级防火墙解决方案的详细信息,请参阅 Internet 安全和加速服务器网站。有关如何将 ISA 服务器与 Outlook Web Access 一起使用的信息,请参阅将 ISA Server 2006 与 Outlook Web Access 一起使用。
智能卡和证书身份验证 证书可驻留在客户端上的证书存储中,也可驻留在智能卡上。证书身份验证方法使用可扩展的身份验证协议 (EAP) 和传输层安全性 (TLS) 协议。在 EAP-TLS 证书身份验证中,客户端和服务器互相证明各自的身份。例如,用户计算机上的 Outlook Web Access 客户端向客户端访问服务器提供其用户证书,客户端访问服务器向 Outlook Web Access 客户端计算机提供其计算机证书。这样就提供了相互身份验证。有关智能卡和其他证书身份验证方法的详细信息,请参阅如何配置 Outlook Web Access 以使用智能卡。
RSA SecurID 身份验证 可使用第三方产品 RSA SecurID,在客户端访问服务器上配置 RSA SecurID 身份验证方法。有关如何将 RSA SecurID 与 Outlook Web Access 一起使用的信息,请参阅如何配置 Outlook Web Access 的 RSA SecurID。有关 RSA SecurID 的详细信息,请参阅 http://www.rsasecurity.com。
注意:UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL)