В данном разделе описаны типы проверки подлинности, доступные для Microsoft Office Outlook Web Access в сервере Microsoft Exchange Server 2007. Выбор того или иного способа проверки подлинности зависит от требований, предъявляемых к безопасности в организации. По умолчанию Outlook Web Access использует проверку подлинности на основе форм и шифрование по протоколу SSL (Secure Sockets Layer).

Примечание.
Фоновые серверы Microsoft Exchange Server 2003 поддерживают проверку подлинности на основе форм, а также обычную, встроенную и дайджест-проверку подлинности Windows. Серверы переднего плана Exchange Server 2003 не поддерживают встроенную проверку подлинности Windows и дайджест-проверку подлинности.

Проверка подлинности на основе форм

Проверка подлинности на основе форм предполагает использование страницы входа в Outlook Web Access с хранением зашифрованных учетных данных в веб-обозревателе с использованием файлов «cookie». Контроль использования файлов «cookie» позволяет серверу Exchange отслеживать деятельность пользователя в сеансах работы Outlook Web Access на общих и частных компьютерах. Если сеанс работы неактивен в течение слишком длительного времени, сервер блокирует доступ до повторного ввода пользователем своих учетных данных.

При первичной отправке имени пользователя и пароля на сервер клиентского доступа для проверки подлинности в сеансе работы Outlook Web Access создается зашифрованный файл «cookie», который используется для слежения за деятельностью пользователя. Когда пользователь закрывает веб-обозреватель или нажимает кнопку Завершение сеанса, чтобы завершить сеанс работы в Outlook Web Access, файл «cookie» очищается. Имя пользователя и пароль отправляются на сервер клиентского доступа только при первом входе пользователя. Впоследствии для проверки подлинности между клиентским компьютером и сервером клиентского доступа используется только файл «cookie».

Дополнительные сведения о проверке подлинности на основе форм и ее настройке см. в следующих разделах:

Указание срока действия файла «cookie»

Срок действия файла «cookie» зависит от параметров Это общедоступный или совместно используемый компьютер и Это частный компьютер, выбираемых пользователем на странице входа в Outlook Web Access. Если выбран первый вариант, срок действия файла «cookie» и сеанс работы с Outlook Web Access автоматически завершаются через 15 минут бездействия пользователя; если выбран частный компьютер, это происходит через 8 часов.

Автоматическое завершение срока действия «cookie» помогает защищать учетные записи пользователей от несанкционированного доступа. Чтобы обеспечить соответствие требованиям безопасности в организации, можно настроить на сервере клиентского доступа Exchange период бездействия пользователя, по истечении которого сеанс работы данного пользователя будет завершен.

Хотя автоматический тайм-аут уменьшает опасность несанкционированного доступа к учетной записи Outlook Web Access, он не полностью устраняет ее, если сеанс на общедоступном компьютере остался в рабочем состоянии. Поэтому следует уведомить пользователей о необходимых мерах предосторожности, например рекомендовать им выйти из Outlook Web Access и закрыть веб-обозреватель после завершения работы с Outlook Web Access.

Дополнительные сведения о настройке параметров истечения срока действия «cookie» на общедоступных и частных компьютерах см. в следующих разделах:

Стандартные способы проверки подлинности

В этом разделе описаны стандартные способы проверки подлинности, помогающие защитить серверы клиентского доступа Exchange 2007 для Outlook Web Access.

В Exchange 2007 серверы клиентского доступа поддерживают встроенную проверку подлинности Windows и дайджест-проверку подлинности по протоколу HTTP 1.1 для виртуальных каталогов Exchange 2007. Виртуальные каталоги Exchange 2000 и Exchange 2003 на сервере, на котором выполняется только роль сервера клиентского доступа, поддерживают только обычную проверку подлинности и проверку подлинности на основе форм.

Дополнительные сведения о стандартных способах проверки подлинности см. в разделе Настройка стандартных методов проверки подлинности для веб-клиента Outlook.

Обычная проверка подлинности

Обычная проверка подлинности — это простой механизм проверки подлинности, определяемый спецификацией протокола HTTP, который кодирует имя пользователя для входа в систему и его пароль до отправки учетных данных пользователя на сервер.

Этот способ проверки подлинности не поддерживает единый вход в систему. В Windows Server 2003 механизм проверки подлинности поддерживает эту функцию при доступе к любым сетевым ресурсам. С помощью единого входа пользователь может войти в домен один раз, используя единый пароль или смарт-карту, и пройти проверку подлинности на любом компьютере в домене.

Обычная проверка подлинности поддерживается всеми веб-обозревателями, но не является защищенной, если не задано требование использовать шифрование по протоколу SSL (Secure Sockets Layer).

Дополнительные сведения о настройке обычной проверки подлинности для виртуального каталога Outlook Web Access см. в разделе Инструкции по настройке обычной проверки подлинности.

Дайджест-проверка подлинности

При дайджест-проверке подлинности пароли передаются по сети в виде хэш-значений для обеспечения дополнительной защиты. Дайджест-проверка подлинности может использоваться только в доменах Microsoft Windows Server 2003 и Microsoft Windows 2000 Server для пользователей, имеющих учетные записи, которые хранятся в службе каталогов Active Directory. Дополнительные сведения о дайджест-проверке подлинности см. в документации по Windows Server 2003 и диспетчеру служб IIS.

Дайджест-проверка подлинности доступна только для виртуальных каталогов Exchange 2007.

Важно!
Когда пользователь пользуется киоском и применяется обычная или дайджест-проверка подлинности, кэширование учетных данных может создать угрозу безопасности, если пользователь не закроет обозреватель и не завершит процесс обозревателя между сеансами. Эта угроза безопасности возникает, потому что учетные данные пользователя остаются в кэше, когда следующий пользователь получает доступ к киоску. Прежде чем включить Outlook Web Access для киоска, убедитесь в том, что пользователь может закрыть обозреватель между сеансами и завершить процесс обозревателя. В противном случае рассмотрите возможность применения стороннего продукта, включающего механизм двухфакторной проверки подлинности, при выполнении которой пользователь должен предоставить физический маркер вместе с паролем для использования Outlook Web Access в киоске.

Дополнительные сведения о настройке дайджест-проверки подлинности для виртуального каталога Outlook Web Access см. в разделе Инструкции по настройке краткой проверки.

Встроенная проверка подлинности Windows

При встроенной проверке подлинности Windows пользователи могут получить доступ к сведениям, только указав действительные имя и пароль пользовательской учетной записи Windows 2000 Server или Windows Server 2003. Пользователи, регистрирующиеся в локальной сети, не получают приглашения на ввод имен пользователей и паролей. Вместо этого сервер осуществляет согласование с пакетами безопасности Windows, которые установлены на клиентском компьютере. Этот способ позволяет серверу выполнять проверку подлинности пользователей, не запрашивая у них данные входа в систему. Учетные данные для проверки подлинности при использовании этого способа защищены, однако все другие сообщения отправляются открытым текстом, если не используется протокол SSL.

Сервер Microsoft Internet Explorer допускает возможность единого входа для веб-приложений, содержащих веб-части Outlook Web Access, если на сервере, к которому осуществляется доступ, включена встроенная проверка подлинности Windows. Пользователи должны ввести учетные данные только один раз для каждого сеанса работы с обозревателем. Однако их учетные данные кэшируются в процессе обозревателя.

На сервере Exchange 2007, на котором установлена только роль сервера клиентского доступа, встроенная проверка подлинности Windows может использоваться только для виртуальных каталогов Exchange 2007. На сервере с установленными ролями сервера клиентского доступа и сервера почтовых ящиков встроенная проверка подлинности Windows может использоваться для любого виртуального каталога. Дополнительные сведения о встроенной проверке подлинности Windows см. в документации Windows Server 2003.

Примечание.
Встроенная проверка подлинности Windows поддерживается только на тех компьютерах, на которых установлена операционная система Windows и выполняется Internet Explorer. Встроенная проверка подлинности Windows может работать с другими веб-обозревателями, если они настроены на передачу пользовательских учетных данных на сервер, запрашивающий проверку подлинности.

Дополнительные сведения о настройке встроенной проверки подлинности Windows для виртуального каталога Outlook Web Access см. в разделе Инструкции по настройке встроенной проверки подлинности Windows.

Дополнительные сведения