Управление безопасностью веб-клиента Outlook
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-11-13
В этом разделе описываются методы проверки подлинности, помогающие обеспечить защиту Microsoft Office Outlook Web Access на компьютерах Microsoft Exchange Server 2007, на которых установлена роль сервера клиентского доступа.
Методы проверки подлинности
В отличие от серверов переднего плана, используемых в Exchange Server 2003, серверы клиентского доступа, используемые в Exchange Server 2007, поддерживают больше методов проверки подлинности. Сервер клиентского Exchange 2007 доступа поддерживает следующие методы проверки подлинности:
Стандартный метод проверки подлинности
Проверка подлинности на основе форм
Также могут использоваться другие способы проверки подлинности. Более подробное описание этих способов можно найти в конце данного раздела:
Проверка подлинности на основе форм с использованием ISA Server
Проверка подлинности с использованием смарт-карт и сертификатов
Проверка подлинности с использованием RSASecureID
Стандартная проверка подлинности и проверка подлинности на основе форм
Для Outlook Web Access могут быть настроены как стандартная проверка подлинности, так и проверка подлинности на основе форм. Для настройки можно использовать либо консоль управления Exchange, либо среду управления Exchange.
Стандартные методы проверки подлинности Стандартные методы проверки подлинности включают интегрированную проверку подлинности Windows, а также краткую и обычную проверку подлинности. Для получения дополнительных сведений о настройке стандартных методов проверки подлинности см. разделНастройка стандартных методов проверки подлинности для веб-клиента Outlook.
Проверка подлинности на основе форм При использовании метода проверки подлинности на основе форм для Outlook Web Access создается страница входа. В данном методе для хранения пароля и учетных данных пользователя используются cookie-файлы. Для получения дополнительных сведений о проверке подлинности на основе форм см. разделНастройка проверки подлинности на основе форм для веб-клиента Outlook.
.gif "note")
Примечание.В случае использования нескольких методов проверки подлинности службы IIS используют сначала наиболее строгий метод. После этого службы IIS производят поиск в списке имеющихся протоколов проверки подлинности начиная с самого "строгого" протокола. Поиск производится до тех пор, пока не будет найден метод проверки подлинности, который поддерживается и сервером, и клиентом.
Сравнение стандартной проверки подлинности и проверки подлинности на основе форм
В таблице 1 сравниваются методы стандартной проверки подлинности и проверки подлинности на основе форм. Сравнение производится с использованием таких показателей, как уровень безопасности, обработка учетных данных пользователя и требования клиента.
Таблица 1 Сравнение стандартной проверки подлинности и проверки подлинности на основе форм
| Метод проверки подлинности | Уровень безопасности | Способ пересылки пароля | Требования клиента |
|---|---|---|---|
Обычная проверка подлинности |
Низкий (при отключенном протоколе SSL) |
Открытый текст, стандартное 64-битное кодирование |
Обычная проверка подлинности поддерживается всеми веб-обозревателями. |
Краткая проверка подлинности |
Средний |
Хэширование с использованием алгоритма MD5 |
Microsoft Internet Explorer 5 или более новые версии. |
Встроенная проверка подлинности Windows |
Низкий (при отключенном протоколе SSL) |
Хэширование (при использовании встроенной проверки подлинности Windows) или билет Kerberos (при использовании протокола Kerberos). Встроенная проверка подлинности Windows использует протоколы NTLM или Kerberos. |
Internet Explorer 2.0 или более новые версии для встроенной проверки подлинности Windows. Microsoft Windows 2000 Server или более новые версии, использующие Internet Explorer 5 или более новые версии (для Kerberos). |
Проверка подлинности на основе форм |
Высокий |
Обеспечивает шифрование аутентификационной информации о пользователе, которая затем сохраняется в cookie-файле. Для защиты cookie-файла требуется использование протокола SSL. |
Internet Explorer |
Другие методы проверки подлинности
Для обеспечения безопасности Outlook Web Access также можно использовать другие методы проверки подлинности. Сюда входят:
Проверка подлинности на основе форм с использованием ISA Server Брандмауэр ISA Server позволяет обеспечить безопасную публикацию серверов Outlook Web Access с использованием правил публикации почтового сервера. Кроме того, ISA Server позволяет производить настройку проверки подлинности на основе форм и управлять доступностью вложений электронной почты помогая тем самым защитить ресурсы организации в тех случаях, когда доступ к этим ресурсам предоставляется через Outlook Web Access. Для получения дополнительных сведений об использовании ISA Server 2006 в качестве брандмауэра см. веб-узел Internet Security and Acceleration Server (на англ. языке). Дополнительные сведения об использовании ISA Server 2006 совместно с Outlook Web Access см. в разделе Использование ISA Server 2006 с Outlook Web Access.
Проверка подлинности с использованием смарт-карт и сертификатов Сертификаты могут находиться в хранилище сертификатов на клиентском компьютере или храниться на смарт-карте. Метод проверки подлинности на основе сертификатов использует протоколы EAP и TLS. При проверке подлинности на основе сертификатов с использованием EAP-TLS клиент и сервер должны доказать друг другу свои удостоверения. Например, клиент Outlook Web Access, расположенный на пользовательском компьютере, предъявляет пользовательский сертификат серверу клиентского доступа, а сервер клиентского доступа предъявляет свой сертификат компьютера клиентскому компьютеру Outlook Web Access. Дополнительные сведения о смарт-картах и других способах проверки подлинности с помощью сертификата см. в разделе Настройка Outlook Web Access для использования смарт-карт.
Проверка подлинности с использованием RSA SecurID Для настройки методов проверки подлинности на сервере клиентского доступа можно воспользоваться продуктом компании RSA – RSA SecurID. Дополнительные сведения об использовании RSA SecurID с Outlook Web Access см. в разделе Настройка RSA SecurID для Outlook Web Access. Для получения дополнительных сведений об RSA SecurID см. http://www.rsasecurity.com (на англ. языке).
Примечание.UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL)