Проверка подлинности — это процесс, при котором клиент и сервер проверяют друг друга для передачи данных. В Microsoft Exchange Server 2007 проверка подлинности используется для определения того, является ли пользователь или сервер, который пытается связаться с Exchange, тем, за кого он себя выдает. Проверку подлинности можно использовать для того, что устройство принадлежит определенному лицу или что определенный пользователь пытается войти в систему Microsoft Office Outlook Web Access.
При установке Exchange 2007 и роли сервера клиентского доступа для некоторых служб настраиваются виртуальные каталоги. К ним относятся Outlook Web Access, служба доступности, единая система обмена сообщениями и Microsoft Exchange ActiveSync. По умолчанию каждый виртуальный каталог настроен на использование определенного способа проверки подлинности. Виртуальный каталог Exchange ActiveSync настроен на использование обычной проверки подлинности и SSL. Чтобы изменить способ проверки подлинности для сервера Exchange ActiveSync, измените способ проверки подлинности для виртуального каталога Exchange ActiveSync.
В данном разделе содержится обзор способов проверки подлинности, которые доступны для сервера Exchange ActiveSync. Клиентом Exchange ActiveSync является физическое устройство, которое используется для синхронизации с сервером Exchange 2007.
Выбор способа проверки подлинности
Существует три основных типа проверки подлинности, которые можно использовать для Exchange ActiveSync: обычная проверка подлинности, проверка подлинности на основе сертификатов и проверка подлинности на основе маркеров. При установке роли сервера клиентского доступа на компьютер с Exchange 2007 служба Exchange ActiveSync настраивается на использование обычной проверки подлинности с SSL. Для установки SSL-соединения с использованием проверки подлинности на основе сертификатов мобильное устройство должно иметь допустимый сертификат клиента, созданный для установленной проверки подлинности пользователя. Кроме того, на мобильном устройстве должна быть копия доверенного корневого сертификата с сервера. Сведения о настройке проверки подлинности на основе маркеров предоставляет поставщик маркеров.
Обычная проверка подлинности
Обычная проверка подлинности — это наиболее простой способ проверки подлинности. При обычной проверке подлинности сервер запрашивает у клиента имя пользователя и пароль, которые отправляются на сервер через Интернет в виде открытого текста. Сервер проверяет допустимость имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. Тем не менее рекомендуется отключить обычную проверку подлинности, если при этом не развернут протокол SSL. При использовании обычной проверки подлинности с SSL имя пользователя и пароль отправляются в виде отрытого текста, но коммуникационный канал шифруется.
Проверка подлинности на основе сертификатов
При проверке подлинности на основе сертификатов для проверки удостоверения используются цифровые сертификаты. При проверке подлинности на основе сертификатов кроме имени пользователя и пароля используются другие учетные данные, с помощью которых идентифицируется пользователь, получающий доступ к ресурсам почтового ящика, которые хранятся на сервере Exchange 2007. Цифровой сертификат состоит из двух компонентов — закрытогоо ключа, который хранится на устройстве, и открытого ключа, который установлен на сервере. Если настроить Exchange 2007 на требования проверки подлинности на основе сертификатов для Exchange ActiveSync, с Exchange 2007 смогут синхронизироваться только устройства, отвечающие следующим требованиям:
- установлен допустимый сертификат клиента для устройства,
который был создан для проверки подлинности пользователя;
- на устройстве установлен доверенный корневой сертификат
сервера, к которому оно подключается для установки
SSL-соединения.
Развертывание проверки подлинности на основе сертификатов предотвращает синхронизацию с Exchange 2007 пользователей, которые имеют только имя пользователя и пароль. Для повышения безопасности сертификат клиента для проверки подлинности может устанавливаться только в том случае, если устройство подключено к компьютеру, входящему в доме, с помощью Desktop ActiveSync 4.5 или более поздней версии в Microsoft Windows XP либо центра устройств Windows в Microsoft Windows Vista.
Системы проверки подлинности на основе маркеров
Системы проверки подлинности на основе маркеров являются двухфакторными. При двухфакторной проверке подлинности используются данные, известные пользователю (такие как пароль), и внешнее устройство, обычно в форме кредитной карты или брелока, которое пользователи могут носить с собой. Каждое устройство имеет уникальный серийный номер. Кроме аппаратных маркеров, некоторые поставщики предлагают программные маркеры, которые могут выполняться на мобильных устройствах.
Маркеры выводят уникальный номер (обычно длиной в шесть цифр), который меняется каждые 60 секунд. При выдаче маркера пользователю он синхронизируется с программным обеспечением сервера. Для проверки подлинности пользователь вводит имя пользователя, пароль и номер, который в данный момент выводится маркером. В некоторых системах проверки подлинности на основе маркеров также требуется ввести ПИН.
Проверка подлинности на основе маркеров — надежный способ проверки подлинности. Ее недостатком является необходимость установки на сервере программного обеспечения для проверки подлинности и развертывание такого программного обеспечения на компьютеры и мобильные устройства всех пользователей. Кроме того, существует риск утраты внешнего устройства, в замена утерянных устройств может требовать значительных затрат. Тем не менее сторонние лица не смогут воспользоваться устройством без сведений для проверки подлинности первоначального пользователя.
Существует несколько компаний, которые распространяют системы проверки подлинности на основе маркеров. Одной из таких компаний является RSA. Ее продукт, SecurID, предлагается в различных формах, в том числе в виде брелока и кредитной карты. Маркер выдает одноразовый код проверки подлинности. Каждый код проверки подлинности действует в течение 60 секунд. На большинстве таких устройств также есть индикатор срока действия, например группа точек, которые исчезают при сокращении времени действия кода. Это не позволяет ввести правильный код, срок действия которого истечет до завершения проверки подлинности. После проверки подлинности пользователю не требуется выполнять ее повторно с новым кодом до выхода из системы (вручную или из-за истечения времени ожидания при бездействии устройства). Дополнительные сведения о настройке конкретной системы проверки подлинности на основе маркеров см. в ее документации.
Дополнительные сведения
Дополнительные сведения о настройке проверки подлинности для Exchange ActiveSync см. в следующих разделах:
- Инструкции
по настройке обычной проверки подлинности для Exchange
ActiveSync
- Инструкции
по настройке проверки подлинности на основе сертификата для
Exchange ActiveSync
- Инструкция
по установке сертификатов на устройство, работающее под управлением
операционной системы Windows Mobile
- Управление
безопасностью Exchange ActiveSync