Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2011-04-24

В этом разделе описываются методы проверки подлинности, помогающие обеспечить защиту Outlook Web App на компьютерах под управлением Microsoft Exchange Server 2010, на которых установлена роль сервера клиентского доступа.

Ищете задачи управления, относящиеся к защите клиентского доступа? См. раздел Securing Client Access Servers.

Содержание

Методы проверки подлинности

Другие методы проверки подлинности

Службы федерации Active Directory

Методы проверки подлинности

 

На сервере клиентского доступа Exchange 2010 можно настроить следующие методы проверки подлинности.

  • Стандарт

  • Проверка подлинности на основе форм

Кроме того, можно использовать следующие типы проверки подлинности:

  • Проверка подлинности на основе форм Microsoft Internet Security и Acceleration (ISA) Server

  • Проверка подлинности с использованием смарт-карт и сертификатов

  • Проверка подлинности RSA SecurID

Стандартная проверка подлинности и проверка подлинности на основе форм

Для Outlook Web App можно настроить стандартную проверку подлинности и проверку подлинности на основе форм с помощью консоли управления Exchange или командной консоли Exchange.

  • Стандартные методы проверки подлинности.   Стандартные методы проверки подлинности включают в себя встроенную проверку подлинности Windows, а также дайджест-проверку подлинности и обычную проверку подлинности. Дополнительные сведения о настройке стандартных методов проверки подлинности см. в разделе Настройка стандартных методов проверки подлинности для Outlook Web App.

  • Проверка подлинности на основе форм.   При использовании проверки подлинности на основе форм для Outlook Web App создается страница для входа в систему. При проверке подлинности на основе форм для хранения пароля и зашифрованных учетных данных пользователя, используемых для входа в систему, используются файлы Cookie. Дополнительные сведения о проверке подлинности на основе форм см. в разделе Настройка проверки подлинности на основе форм для Outlook Web App.

В случае использования нескольких методов проверки подлинности службы IIS используют сначала наиболее строгий метод. После этого службы IIS производят поиск в списке имеющихся протоколов проверки подлинности начиная с самого «строгого» протокола. Поиск производится до тех пор, пока не будет найден метод проверки подлинности, который поддерживается как сервером, так и клиентом.

В следующей таблице сравниваются методы стандартной проверки подлинности и проверки подлинности на основе форм. Сравнение производится с использованием таких показателей, как уровень безопасности, обработка учетных данных пользователя и требования клиента.

Сравнение стандартной проверки подлинности и проверки подлинности на основе форм

Метод проверки подлинности Уровень безопасности Способ пересылки пароля Требования клиента

Обычная проверка подлинности

Низкий (при отключенном протоколе SSL)

Открытый текст, стандартное 64-битное кодирование

Обычная проверка подлинности поддерживается всеми браузерами.

Дайджест-проверка подлинности

Средний

Хэширование с использованием алгоритма MD5.

Microsoft Веб-браузер от Internet Explorer 5 до Internet Explorer 8.

Встроенная проверка подлинности Windows

Низкий (при отключенном протоколе SSL)

Хэширование (при использовании встроенной проверки подлинности Windows) или билет Kerberos (при использовании протокола Kerberos). Встроенная проверка подлинности Windows использует протоколы NTLM или Kerberos.

От Internet Explorer 2.0 до Internet Explorer 8 для встроенной проверки подлинности Windows.

Windows 2000 Server или Windows Server 2008 с браузером от Internet Explorer 5 до Internet Explorer 8 для Kerberos.

Проверка подлинности на основе форм

Высокий

Зашифровывает данные проверки подлинности пользователя, которые затем сохраняются в файле Cookie. Для защиты файла Cookie требуется использование протокола SSL.

Internet Explorer

#rtt

Другие методы проверки подлинности

Для обеспечения безопасности Outlook Web App можно также использовать другие методы проверки подлинности. К ним относятся:

  • Проверка подлинности на основе форм с использованием ISA Server   Сервер ISA Server позволяет обеспечить безопасную публикацию серверов Outlook Web App с помощью правил публикации почтового сервера. ISA Server также позволяет настраивать проверку подлинности на основе форм и управлять доступностью вложений электронной почты, помогая тем самым защитить ресурсы организации при получении доступа к ним с помощью приложения Outlook Web App. Дополнительные сведения об использовании ISA Server 2006 в качестве брандмауэра с расширенными возможностями см. на веб-сайте Internet Security and Acceleration Server (страница может быть на английском языке).

  • Проверка подлинности с использованием смарт-карт и сертификатов.   Сертификаты могут храниться в хранилище сертификатов на клиентском компьютере или на смарт-карте. Для метода проверки подлинности с помощью сертификатов используются протоколы EAP и TLS. При проверке подлинности с помощью сертификата с использованием EAP-TLS клиент и сервер должны доказать друг другу собственную подлинность. Например, клиент Outlook Web App, расположенный на компьютере пользователя, предъявляет собственный сертификат пользователя серверу клиентского доступа, который, в свою очередь, предъявляет свой сертификат компьютера клиентскому компьютеру Outlook Web App. Таким образом выполняется взаимная проверка подлинности. Дополнительные сведения о смарт-картах и других способах проверки подлинности см. на веб-сайте Windows Server 2008 и Windows Server 2008 R2 (страница может быть на английском языке).

  • Проверка подлинности с использованием RSA SecurID.   Для настройки методов проверки подлинности на сервере клиентского доступа можно воспользоваться продуктом компании RSA — RSA SecurID. Дополнительные сведения об RSA SecurID см. на веб-сайте http://www.rsasecurity.com (страница может быть на английском языке).

Службы федерации Active Directory

Службы федерации Служба каталогов Active Directory (ADFS) расширяют возможности использования функции единого входа для приложений с выходом в Интернет. Функция единого входа и службы федерации Active Directory упрощают для клиентов, партнеров и поставщиков доступ к веб-приложениям организации (например, Outlook Web App).