Поделиться через


Настройка Outlook Web Access для использования смарт-карт

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2008-03-19

В данном разделе объясняется, как с помощью консоли управления Exchange или командной консоли Exchange и диспетчера служб IIS настроить проверку подлинности подлинности Microsoft Office Outlook Web Access на основе смарт-карт.

Смарт-карты защищены от изменений и портативны. Они обеспечивают безопасность для таких задач, как проверка подлинности клиентов, подписывание кода и защита электронной почты.

Ниже описаны возможности смарт-карт.

  • Защищенное от изменений хранилище для защиты закрытых ключей и других видов личных сведений.

  • Изоляция критических для безопасности вычислений, которые применяются при проверке подлинности, цифровых подписей и обмена ключами, от других компонентов компьютера, которым не требуются такие данные. Все эти операции выполняются на смарт-карте.

  • Возможность переноса учетных данных и других личных сведений между компьютерами на работе, дома и в пути.

Предварительная подготовка

Для проверки подлинности на основе смарт-карт требуется SSL-шифрование. По умолчанию Outlook Web Access использует SSL. Если Outlook Web Access настроен так, что SSL не требуется, а пользователи должны применять смарт-карты, необходимо изменить настройку Outlook Web Access для требования SSL. См. раздел Инструкции по настройке виртуальных каталогов веб-клиента Outlook для использования SSL.

Кроме того, потребуется получить и настроить сертификат из центра сертификации. Дополнительные сведения о внедрении смарт-карт и управлении ими см. в разделах, указанных ниже.

Смарт-карты обеспечивают особый вид проверки подлинности сертификатов. После проверки того, что сервер клиентского доступа настроен на требование SSL, а также получения и настройки сертификата из центра сертификации необходимо настроить сервер клиентского доступа для использования проверки подлинности с помощью сертификата.

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать роль администратора сервера Exchange и членство в локальной группе администраторов на целевом сервере.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования сервера Exchange Server 2007, см. в статье Сведения о разрешениях (на английском языке).

Процедура

Использование диспетчера IIS 6.0 для настройки виртуальных каталогов Outlook Web Access для использования проверки подлинности с помощью сертификата

  1. Щелкните в диспетчере IIS правой кнопкой мыши пункт Веб-узлы и выберите команду Свойства.

  2. Убедитесь, что на вкладке Безопасность каталога установлен флажок Сопоставление службы каталогов Windows.

  3. Нажмите кнопку ОК, чтобы закрыть окно свойств веб-узлов.

  4. Разверните веб-узел, на котором размещены виртуальные каталоги Outlook Web Access. Обычно он называется Веб-узел по умолчанию. Щелкните правой кнопкой мыши виртуальный каталог Outlook Web Access, который требуется настроить для использования проверки подлинности с помощью сертификата, и выберите команду Свойства.

  5. На вкладке Безопасность каталога в поле Безопасные подключения выберите пункт Изменить.

  6. В разделе Безопасные подключения установите флажок Требуется безопасный канал (SSL), если он уже не установлен.

    noteПримечание.
    Если используется SSL-сертификат, созданный в ходе установки сервера Microsoft Exchange, появится сообщение об ошибке, указывающее, что данный сертификат не является доверенным. Убедитесь, что установлены отношения доверия с центром сертификации, который выпустил данный сертификат, либо используйте SSL-сертификат, выданный доверенным центром сертификации.
  7. В разделе Сертификаты клиентов выберите пункт требовать сертификаты клиентов.

  8. Выберите пункт Разрешить сопоставление сертификатов клиентов.

  9. Нажмите кнопку ОК, чтобы сохранить изменения.

После настройки диспетчера IIS на использование проверки подлинности с помощью сертификата необходимо отключить все способы проверки подлинности в виртуальных каталогах Outlook Web Access в Exchange. Для этого можно использовать командную консоль Exchange или консоль управления Exchange.

Отключение всех способов проверки подлинности для Outlook Web Access с помощью консоли управления Exchange

  1. В консоли управления Exchange выберите узел Настройка серверов, а затем пункт Клиентский доступ.

    noteПримечание.
    Чтобы включить поддержку анонимного доступа для Outlook Web Access, необходимо отключить все способы проверки подлинности.
  2. На вкладке Outlook Web Access откройте свойства виртуального каталога, который нужно настроить для использования анонимного доступа.

  3. Откройте вкладку Проверка подлинности.

  4. Выберите пункт Использовать один или несколько стандартных способов проверки подлинности.

  5. Не выбирайте способ проверки подлинности. Если какой-либо способ проверки подлинности выбран, снимите соответствующий флажок.

  6. Нажмите кнопку ОК.

  7. Появится предупреждение о том, что способ проверки подлинности не выбран, с предложением задать способ проверки подлинности с помощью командной консоли Exchange. Нажмите кнопку ОК, чтобы закрыть предупреждение.

  8. Перезапустите службы IIS, выполнив в окне командной строки команду iisreset/noforce.

Отключение всех способов проверки подлинности для Outlook Web Access с помощью командной консоли Exchange

  1. Откройте командную консоль Exchange на сервере клиентского доступа, содержащем виртуальные каталоги Outlook Web Access, которые необходимо настроить.

    noteПримечание.
    Чтобы включить поддержку анонимного доступа для Outlook Web Access, необходимо отключить все способы проверки подлинности.
  2. Чтобы отключить проверку подлинности на основе форм для виртуального каталога /owa и веб-узла «Веб-узел по умолчанию», выполните следующую команду:

    Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
    
  3. Чтобы отключить все стандартные способы проверки подлинности для виртуального каталога /owa и веб-узла «Веб-узел по умолчанию», выполните следующую команду:

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
    
  4. При отключении последнего активного способа проверки подлинности появится предупреждение о том, что для виртуального каталога не задан способ проверки подлинности, с предложением задать его с помощью командлета Set-OwaVirtualDirectory. Пропустите это предупреждение.

  5. Перезапустите службы IIS, выполнив в окне командной строки команду iisreset/noforce.

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-OwaVirtualDirectory.

Дополнительные сведения

Дополнительные сведения о способах проверки подлинности для Outlook Web Access см. в разделе Управление безопасностью веб-клиента Outlook.