В этом разделе рассматривается проверка подлинности на основе форм для Microsoft Office Outlook Web Access в Microsoft Exchange Server 2007. Проверка подлинности на основе форм предполагает использование страницы входа в Outlook Web Access с хранением зашифрованных учетных данных в веб-обозревателе с использованием файлов «cookie». Трассировка использования файлов «cookie» позволяет серверу Exchange отслеживать деятельность пользователя в сеансах работы Outlook Web Access на общих и частных компьютерах. Если сеанс работы неактивен в течение слишком длительного времени, сервер блокирует доступ до повторного ввода пользователем своих учетных данных.
Использование файлов «cookie» для управления доступом
При первичной отправке имени пользователя и пароля на сервер клиентского доступа для проверки подлинности в сеансе работы Outlook Web Access создается зашифрованный файл «cookie», который используется для трассировки деятельности пользователя. Когда пользователь закрывает веб-обозреватель или нажимает кнопку Завершение сеанса, чтобы завершить сеанс работы в Outlook Web Access, файл «cookie» очищается. Имя пользователя и пароль отправляются на сервер клиентского доступа только при первом входе пользователя. Впоследствии для проверки подлинности между клиентским компьютером и сервером клиентского доступа используется только файл «cookie».
Настройка значения срока действия файла «cookie» на общих компьютерах
Если пользователь выбрал на странице входа Outlook Web Access параметр Это общедоступный или совместно используемый компьютер, по умолчанию срок действия файла «cookie» на данном компьютере истекает, если Outlook Web Access не использовался в течение 15 минут, что приводит к завершению сеанса работы пользователя.
Автоматическое отключение полезно, поскольку помогает защитить учетные записи пользователей от неавторизованного доступа. Чтобы обеспечить соответствие требованиям безопасности в организации, можно настроить на сервере клиентского доступа Exchange период бездействия пользователя, по истечению которого сеанс работы данного пользователя будет завершен.
Хотя автоматическое отключение уменьшает опасность несанкционированного доступа к учетной записи Outlook Web Access, оно не полностью устраняет ее, если сеанс на общедоступном компьютере остался в рабочем состоянии. Поэтому следует уведомить пользователей о необходимых мерах предосторожности, например рекомендовать им выйти из Outlook Web Access и закрыть веб-обозреватель после завершения работы с Outlook Web Access.
Дополнительные сведения о настройке значений автоматического отключения после периода ожидания для файла «cookie» на общих компьютерах см. в разделе Настройка значения таймаута файлов cookie общедоступного компьютера для проверки подлинности на основе форм.
Настройка значения срока действия файла «cookie» на частных компьютерах
Если пользователь выбрал на странице входа Outlook Web Access параметр Это частный компьютер, на сервере Exchange предоставляется более длительный период бездействия пользователя перед автоматическим завершением сеанса работы Outlook Web Access. По умолчанию время ожидания при входе с частного компьютера составляет восемь часов. Такое значение периода ожидания до отключения задается в файле «cookie», находящемся на частном компьютере, чтобы обеспечить удобство работы пользователей Outlook Web Access, которые работают на собственном компьютере или компьютере, включенном в корпоративную сеть.
Важно предупредить пользователей о рисках, которые возникают при выборе параметра Это частный компьютер. Пользователю следует указать параметр частного компьютера только в том случае, если он пользуется этим компьютером один и компьютер соответствует политикам безопасности организации.
Дополнительные сведения о настройке периода ожидания до отключения в файлах «cookie» для частного компьютера см. в разделе Инструкции по установке значения тайм-аута файлов cookie на частном компьютере для проверки подлинности на основе форм.
Определение наличия деятельности пользователя
Если сеанс работы с Outlook Web Access неактивен в течение определенного времени, сервер клиентского доступа утрачивает ключ описания для чтения файла «cookie» и пользователю будет отказано в доступе до повторной проверки подлинности.
В Exchange 2007 для определения деятельности пользователя используются следующие данные:
- Деятельностью считается обмен данными между клиентским
компьютером и сервером клиентского доступа, начатый пользователем.
Например, если пользователь открывает, отправляет или сохраняет
элемент, переключается между папками или модулями либо обновляет
окно веб-обозревателя, это считается в Exchange 2007
деятельностью.
Примечание. Деятельностью не считается обмен данными между клиентским компьютером и сервером клиентского доступа, автоматически начатый сервером. Например, уведомления по электронной почте и оповещения, созданные сервером клиентского доступа в течение сеанса работы с Outlook Web Access, не считаются деятельностью. - В Outlook Web Access Light деятельностью считается
все, что делает пользователь, за исключением ввода текста. В
Outlook Web Access Premium деятельностью считается все,
что делает пользователь, включая ввод текста в сообщение
электронной почты или приглашение на собрание.
Настройка сообщения при входе, которое используется для проверки подлинности на основе форм
Вместо всплывающего окна при проверке подлинности на основе форм создается страница входа для Outlook Web Access. Текст сообщения при входе, который выводится в процессе проверки подлинности на основе форм, можно задать с помощью консоли управления Exchange или среды управления Exchange. Внесенные изменения применяются только к тексту сообщения при входе. Они не меняют формат, который должен применять пользователь при входе в систему. Например, можно настроить проверку подлинности на основе форм таким образом, чтобы на странице входа пользователям предлагалось ввести свои сведения в формате «домен\имя_пользователя». Тем не менее для входа можно также ввести имя участника-пользователя.
При проверке подлинности на основе форм на странице входа Outlook Web Access могут использоваться следующие ниже типы приглашений. Выберите приглашение, которое будет наиболее понятным и удобным для пользователей.
- FullDomain. Это домен и имя пользователя в формате
«домен\имя пользователя». Например, «Contoso\Kweku».
- PrincipalName. Имя участника-пользователя. Имя
участника-пользователя состоит из двух частей: префикса имени
участника-пользователя, который является именем учетной записи
пользователя, и суффикса имени участника-пользователя, который
представляет собой доменное имя DNS. Префикс и суффикс объединены в
полное имя участника-пользователя знаком @. Например:
Kweku@contoso.com. Для получения доступа к
Outlook Web Access пользователи могут вводить свой
основной адрес электронной почты или имя
участника-пользователя.
- UserName. Только имя пользователя. Имя домена не
указывается. Например, «Kweku». Этот формат входа применяется
только в том случае, если настроено доменное имя.
Примечание. При необходимости можно изменить формат, в котором пользователь должен указывать свои данные для входа на Outlook Web Access, путем настройки службы каталогов Active Directory и служб IIS. Форматы имени пользователя, заданные с помощью Active Directory и служб IIS, при применении которых пользователь успешно пройдет проверку подлинности, не связаны с сообщением проверки подлинности на основе форм Outlook Web Access, как было указано ранее.
Общее представление о шифровании данных пользователя при входе с частных и общих компьютеров
Шифрование учетных данных пользователей для входа при входе в Outlook Web Access как с частного, так и с общего компьютеров предполагает использование набора из шести хэшированных кодов проверки подлинности сообщений. Хэшированный код проверки подлинности сообщения представляет собой 160-битный ключ, который создается на сервере клиентского доступа. Применение хэшированных кодов проверки подлинности сообщений повышает уровень безопасности при входе, поскольку позволяет сочетать при шифровании учетных данных пользователей алгоритмы хэширования с криптографическими функциями. Шифрование и расшифровка файла «cookie» выполняются на одном сервере клиентского доступа. Только сервер клиентского доступа, создавший ключ проверки подлинности, обладает ключом для расшифровки файла «cookie».
При использовании в Outlook Web Access проверки подлинности на основе форм сервер клиентского доступа циклически переключается с заданной скоростью между тремя ключами одного набора для каждого типа входа с общего или частного компьютера. Это называется временем рециркуляции. Время рециркуляции для ключа составляет половину от значения периода ожидания до отключения для данного типа входа. Например, если значение параметра периода ожидания до отключения составляет 15 минут, для ключа будет установлено время рециркуляции 7,5 минут.
Шесть ключей входа создаются на сервере клиентского доступа при начале работы виртуальных каталогов Outlook Web Access. Три ключа используется для входа с общих компьютеров, три — для входа с частных компьютеров. Когда пользователь выполняет вход в систему, учетные данные пользователя зашифровываются в файле «cookie» с использованием текущего ключа для соответствующего типа входа.
По истечении времени рециркуляциии сервер клиентского доступа переходит к использованию другого ключа. После того, как были использованы все три ключа, предназначенные для одного типа входа, сервер клиентского доступа удаляет самый старый ключ и создает вместо него новый. Сервер клиентского доступа всегда имеет три ключа для каждого типа доступа: текущий ключ и два самых новых ключа. Перебор ключей продолжается в течение всего периода выполнения Outlook Web Access на сервере клиентского доступа. Для всех пользователей применяются одни и те же ключи.
Будет принят любой файл «cookie», зашифрованный с использованием активного ключа. Если сервер клиентского доступа получает запрос действий пользователя, файл «cookie» для этого запроса замещается новым файлом «cookie», зашифрованным с использованием самого нового ключа. Сеанс работы пользователя автоматически завершается, если связанный с этим сеансом файл «cookie», который был зашифрован с использованием более старого ключа, был отклонен.
Так как существует связь между временем рециркуляции ключей шифрования и установленным на сервере значением периода ожидания до отключения, фактический период ожидания до отключения для пользователя находится в диапазоне от одного до полутора значений параметра периода ожидания до отключения. Например, если отключение выполняется по истечении 30 минут, фактический период ожидания до отключения для сеанса работы пользователя составит от 30 минут до 45 минут.
В таблице 1 приводятся сведения о периоде ожидания до отключения для файла «cookie», а также о времени рециркуляции ключей проверки подлинности при входе с общего или частного компьютера.
Таблица 1. Период ожидания до отключения, указанный в файле «cookie», и время рециркуляции ключей для каждого из типов входа пользователя
Вход | Период ожидания до отключения, указанный в файле «cookie» | Время рециркуляции ключей проверки подлинности при использовании значения периода ожидания до отключения, установленного по умолчанию |
---|---|---|
Общий компьютер |
От одной минуты до 30 дней. Значение по умолчанию — 15 минут. |
7,5 минут |
Частный компьютер |
От одной минуты до 30 дней. Значение по умолчанию — 8 часов. |
4 часа |
Примечание. |
---|
Значение периода ожидания до отключения для файла «cookie» можно настроить с использованием реестра. Время рециркуляции ключей проверки подлинности составляет не менее одной трети и не более половины значения периода ожидания до отключения, заданного для файла «cookie». |
Использование SSL для обеспечения безопасности в веб-клиенте Outlook
По умолчанию SSL-шифрование включается при установке роли сервера клиентского доступа. Если SSL не используется, имя пользователя и пароль при первом входе будут передаваться простым текстом. При использовании SSL выполняется шифрование всех данных, которыми обмениваются клиентский компьютер и сервер клиентского доступа, что позволяет защитить важные сведения, например имена пользователей, пароли и сообщения электронной почты, от просмотра посторонними лицами.
Для роли сервера клиентского доступа устанавливается сертификат SSL по умолчанию, который не является доверенным. Используемый SSL-сертификат по умолчанию должен быть доверенным, в противном случае при каждом входе пользователей в Outlook Web Access будет выводиться запрос на подтверждение доверия сертификату. Дополнительные сведения об использовании SSL-сертификата по умолчанию см. в разделе Инструкции по замене сертификата SSL по умолчанию другим доверенным сертификатом.
Дополнительные сведения
- Дополнительные сведения об управлении SSL см. в разделе
Управление
протоколом SSL на сервере клиентского доступа.
- Дополнительные сведения о настройке страницы входа при проверке
подлинности на основе форм см. в разделе Инструкции по настройке
проверки подлинности на основе форм для веб-клиента
Outlook.
- Дополнительные сведения о настройке значения периода ожидания
до отключения для файла «cookie» в виртуальном каталоге
Outlook Web Access для общих компьютеров см. в разделе
Настройка
значения таймаута файлов cookie общедоступного компьютера для
проверки подлинности на основе форм.
- Дополнительные сведения о настройке значения периода ожидания
до отключения для файла «cookie» в виртуальном каталоге
Outlook Web Access для частных компьютеров см. в разделе
Инструкции по
установке значения тайм-аута файлов cookie на частном компьютере
для проверки подлинности на основе форм.
- Дополнительные сведения о безопасности см. в разделе Управление безопасностью
клиентского доступа.
- Дополнительные сведения о пользовательской настройке страницы
входа при проверке подлинности на основе форм см. в разделе
Управление
расширенными функциями Outlook Web Access.