Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2011-04-22

Стандартные методы проверки подлинности помогают защитить серверы клиентского доступа Microsoft Exchange Server 2010 для Outlook Web App.

В системе Exchange 2010 серверы клиентского доступа поддерживают встроенную проверку подлинности Windows и дайджест-проверку подлинности по протоколу HTTP 1.1 для виртуальных каталогов Exchange 2010. Виртуальные каталоги Exchange 2010 на сервере, на котором выполняется только роль сервера клиентского доступа, поддерживают только обычную проверку подлинности и проверку подлинности на основе форм.

Стандартные методы проверки подлинности включают обычную, дайджест-проверку подлинности и встроенную проверку подлинности Windows.

Примечание.
По умолчанию на сервере Exchange 2010 включена проверка подлинности на основе форм.

Содержание

Обычная проверка подлинности

Дайджест-проверка подлинности

Встроенная проверка подлинности Windows

Обычная проверка подлинности

Обычная проверка подлинности — это простой механизм проверки подлинности, определенный спецификацией HTTP, при котором учетное имя и пароль пользователя шифруются перед отправкой учетных данных на сервер.

Обычная проверка подлинности не поддерживает функцию единого входа. Проверка подлинности Windows Server 2008 позволяет использовать функцию единого входа для всех сетевых ресурсов. С помощью единого входа пользователь может выполнить вход в домен один раз с помощью единого пароля или смарт-карты и пройти проверку подлинности на любом компьютере в домене.

Обычная проверка подлинности поддерживается всеми веб-браузерами, но не является защищенной, если не задано требование использовать шифрование по протоколу SSL.

Дайджест-проверка подлинности

В дайджест-проверке подлинности для обеспечения дополнительной защиты пароли передаются по сети в виде хэш-значений. Дайджест-проверку подлинности можно использовать только в доменах Windows Server 2008, Windows Server 2003 и Microsoft Windows 2000 Server для пользователей, которые имеют учетные записи, сохраненные в службе Служба каталогов Active Directory. Дополнительные сведения о дайджест-проверке подлинности см. в документации по ОС Windows Server 2008 и диспетчеру служб IIS.

Дайджест-проверка подлинности доступна только для виртуальных каталогов Exchange 2010.

Важно!
Когда пользователь пользуется киоском и применяется обычная или дайджест-проверка подлинности, кэширование учетных данных может создать угрозу безопасности, если пользователь не закроет окно веб-браузера и не завершит процесс веб-браузера между сеансами. Эта угроза безопасности связана с тем, что учетные данные пользователя остаются в кэше, когда следующий пользователь получает доступ к киоску. Прежде чем включить приложение Outlook Web App для киоска, убедитесь в том, что пользователь может закрыть окно браузера между сеансами и завершить процессы браузера. В противном случае рассмотрите возможность применения стороннего продукта, обеспечивающего двухфакторную проверку подлинности, в процессе выполнения которой пользователь должен предоставить физический маркер вместе с паролем для использования приложения Outlook Web App в киоске.

Встроенная проверка подлинности Windows

При выполнении встроенной проверки подлинности Windows для получения доступа к сведениям требуются допустимые имя учетной записи и пароль пользователя Windows Server 2008, Windows Server 2003 или Windows 2000 Server. Пользователи, выполнившие вход в локальную сеть, не получают запрос на ввод имени пользователя и пароля. Вместо этого сервер осуществляет согласование с пакетами безопасности Windows, которые установлены на клиентском компьютере. Этот метод позволяет серверу выполнять проверку подлинности пользователей без запроса данных для входа в систему. При использовании этого метода учетные данные для проверки подлинности защищены, однако все другие сообщения отправляются открытым текстом, если не используется протокол SSL.

Если на сервере Exchange 2010 установлена только роль сервера клиентского доступа, встроенная проверка подлинности Windows может использоваться только для виртуальных каталогов Exchange 2010. На сервере с установленными ролями серверов клиентского доступа и почтовых ящиков встроенная проверка подлинности Windows может использоваться вместе с любым виртуальным каталогом. Дополнительные сведения о встроенной проверке подлинности Windows см. в документации к ОС Windows Server 2008.

Примечание.
Встроенная проверка подлинности Windows поддерживается только на тех компьютерах, на которых установлена операционная система Windows и используется браузер Internet Explorer. Встроенную проверку подлинности Windows можно выполнять с помощью других веб-браузеров, если они настроены на передачу пользовательских учетных данных для входа в систему на сервер, запрашивающий проверку подлинности.