Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-04-22
В данном разделе описаны типы проверки подлинности, доступные для приложения Outlook Web App в системе Microsoft Exchange Server 2010. Выбор того или иного способа проверки подлинности зависит от требований, предъявляемых к безопасности в организации. По умолчанию Outlook Web App использует проверку подлинности на основе форм и шифрование по протоколу SSL.
Проверка подлинности на основе форм
Проверка подлинности на основе форм предполагает использование страницы входа в Outlook Web App с хранением зашифрованных учетных данных в веб-браузере с помощью файлов Cookie. Отслеживание использования файлов Cookie позволяет серверу Exchange контролировать деятельность пользователя в сеансах Outlook Web App на общих и частных компьютерах. Если сеанс работы неактивен в течение продолжительного времени, сервер блокирует доступ до повторного ввода пользователем своих учетных данных.
При первой отправке имени пользователя и пароля на сервер клиентского доступа для проверки подлинности сеанса Outlook Web App создается зашифрованный файл Cookie, который используется для отслеживания деятельности пользователя. Когда пользователь закрывает веб-браузер или нажимает кнопку Выйти для завершения сеанса работы в Outlook Web App, файл Cookie очищается. Имя пользователя и пароль отправляются на сервер клиентского доступа только при первом входе пользователя. Впоследствии для проверки подлинности между клиентским компьютером и сервером клиентского доступа используется только файл Cookie.
Дополнительные сведения о проверке подлинности на основе форм и ее настройке см. в следующих разделах:
Единый вход для Outlook Web App и панели управления Exchange
Для поддержки функции единого входа между приложением Outlook Web App и панелью управления Exchange в версии сервера Exchange 2010 доступна новая служба проверки подлинности Exchange на основе форм (FBA). Чтоб использовать эту новую функцию, убедитесь, что для виртуальных каталогов Outlook Web App и панели управления Exchange включен режим проверки подлинности на основе форм.
Указание срока действия куки-файла
Срок действия файла Cookie зависит от параметров Это общедоступный или совместно используемый компьютер и Это частный компьютер, выбираемых пользователем на странице входа в Outlook Web App. По умолчанию при выборе первого параметра срок действия файла Cookie истекает автоматически, а сеанс работы пользователя завершается, если период бездействия пользователя в Outlook Web App составляет от 15 до 22,5 минут. При выборе второго параметра срок действия файла Cookie истекает автоматически, а сеанс работы пользователя завершается, если период бездействия пользователя в Outlook Web App составляет от 8 до 12 часов.
Автоматическое отключение полезно, поскольку помогает защитить учетные записи пользователей от неавторизованного доступа. Чтобы обеспечить соответствие требованиям безопасности в организации, можно настроить на сервере клиентского доступа Exchange период бездействия пользователя, по истечению которого сеанс работы данного пользователя будет завершен.
Хотя автоматический тайм-аут существенно уменьшает опасность несанкционированного доступа, возможность доступа неавторизованного пользователя к почтовому ящику Exchange не исключается, если сеанс на общедоступном компьютере остался в рабочем состоянии. Поэтому следует уведомить пользователей о необходимых мерах предосторожности, например рекомендовать им выходить из Outlook Web App и закрывать окно веб-браузера после завершения работы с Outlook Web App.
Дополнительные сведения о настройке параметров истечения срока действия куки-файла на общедоступных и частных компьютерах см. в следующих разделах:
Стандартные способы проверки подлинности
В Exchange 2010 серверы клиентского доступа поддерживают встроенную проверку подлинности Windows и дайджест-проверку подлинности по протоколу HTTP 1.1 для виртуальных каталогов Exchange 2010.
Дополнительные сведения о стандартных способах проверки подлинности см. в разделе Настройка стандартных методов проверки подлинности для Outlook Web App.
Обычная проверка подлинности
Обычная проверка подлинности — это простой механизм проверки подлинности, определенный спецификацией HTTP, при котором учетное имя и пароль пользователя шифруются перед отправкой учетных данных на сервер.
Этот способ проверки подлинности не поддерживает единый вход в систему. В версиях Windows Server 2008 и Windows Server 2003 механизм проверки подлинности поддерживает эту функцию при доступе к любым сетевым ресурсам. С помощью единого входа пользователь может выполнить вход в домен один раз с помощью единого пароля или смарт-карты и пройти проверку подлинности на любом компьютере в домене.
Обычная проверка подлинности поддерживается всеми веб-браузерами, но не является защищенной, если не задано требование использовать шифрование по протоколу SSL.
Дополнительные сведения о настройке обычной проверки подлинности для виртуального каталога Outlook Web App см. в разделе Настройка обычной проверки подлинности.
Дайджест-проверка подлинности
В дайджест-проверке подлинности для обеспечения дополнительной защиты пароли передаются по сети в виде хэш-значений. Дайджест-проверку подлинности можно использовать только в доменах Windows Server 2008, Windows Server 2003 и Microsoft Windows 2000 Server для пользователей, которые имеют учетные записи, сохраненные в службе Служба каталогов Active Directory. Дополнительные сведения о дайджест-проверке подлинности см. в документации по Windows Server 2003 и диспетчеру служб IIS.
Дайджест-проверка подлинности доступна только для виртуальных каталогов Exchange 2010.
Важно! |
---|
Когда пользователь пользуется киоском и применяется обычная или дайджест-проверка подлинности, кэширование учетных данных может создать угрозу безопасности, если пользователь не закроет окно веб-браузера и не завершит процесс веб-браузера между сеансами. Эта угроза безопасности связана с тем, что учетные данные пользователя остаются в кэше, когда следующий пользователь получает доступ к киоску. Прежде чем включить приложение Outlook Web App в киоске, убедитесь в том, что пользователь может закрыть окно браузера между сеансами и завершить процессы браузера. В противном случае рассмотрите возможность применения продукта стороннего производителя, включающего механизм двухфакторной проверки подлинности, при выполнении которой пользователь должен предоставить физический маркер вместе с паролем для использования Outlook Web App в киоске. |
Дополнительные сведения о настройке дайджест-проверки подлинности для виртуального каталога Outlook Web App см. в разделе Настройка дайджест-проверки подлинности.
Встроенная проверка подлинности Windows
При выполнении встроенной проверки подлинности Windows для получения доступа к сведениям требуются допустимые имя учетной записи и пароль пользователя Windows Server 2008, Windows Server 2003 или Windows 2000 Server. Пользователи, выполнившие вход в локальную сеть, не получают запрос на ввод имени пользователя и пароля. Вместо этого сервер осуществляет согласование с пакетами безопасности Windows, которые установлены на клиентском компьютере. Этот метод позволяет серверу выполнять проверку подлинности пользователей без запроса данных для входа в систему. При использовании этого метода учетные данные для проверки подлинности защищены, однако все другие сообщения отправляются открытым текстом, если не используется протокол SSL.
Браузер Microsoft Internet Explorer поддерживает функцию единого входа для веб-приложений, содержащих веб-части Outlook Web App, если на сервере, к которому осуществляется доступ, включена встроенная проверка подлинности Windows. Пользователи должны ввести учетные данные только один раз для каждого сеанса работы с веб-браузером. Однако их учетные данные кэшируются в процессе веб-браузера.
Если на сервере Exchange 2010 установлена только роль сервера клиентского доступа, встроенная проверка подлинности Windows может использоваться только для виртуальных каталогов Exchange 2010. На сервере с установленными ролями серверов клиентского доступа и почтовых ящиков встроенную проверку подлинности Windows можно использовать вместе с любым виртуальным каталогом. Дополнительные сведения о встроенной проверке подлинности Windows см. в документации к ОС Windows Server 2003.
Примечание. |
---|
Встроенная проверка подлинности Windows поддерживается только на тех компьютерах, на которых установлена операционная система Windows и выполняется Internet Explorer. Встроенную проверку подлинности Windows можно выполнять с помощью других веб-браузеров, если они настроены на передачу учетных данных для единого входа пользователя на сервер, запрашивающий проверку подлинности. |
Дополнительные сведения о настройке встроенной проверки подлинности Windows для виртуального каталога Outlook Web App см. в разделе Настройка встроенной проверки подлинности Windows.