Выбор метода проверки подлинности для ActiveSync
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-03-20
Проверка подлинности — это процесс, при котором клиент и сервер проверяют друг друга для передачи данных. В Exchange 2007 проверка подлинности используется для определения того, является ли пользователь или сервер, который пытается связаться с Exchange, тем, за кого он себя выдает. Проверку подлинности можно использовать для проверки того, что устройство принадлежит определенному лицу или что определенный пользователь пытается войти в систему Office Outlook Web Access.
При установке Microsoft Exchange Server 2007 и роли сервера клиентского доступа для некоторых служб настраиваются виртуальные каталоги. К ним относятся Outlook Web Access, служба доступности, единая система обмена сообщениями и Microsoft Exchange ActiveSync. По умолчанию каждый виртуальный каталог настроен на использование определенного способа проверки подлинности. Виртуальный каталог Exchange ActiveSync настроен на использование обычной проверки подлинности и SSL. Чтобы изменить способ проверки подлинности для сервера Exchange ActiveSync, измените способ проверки подлинности для виртуального каталога Exchange ActiveSync.
В данном разделе содержится обзор способов проверки подлинности, которые доступны для сервера Exchange ActiveSync. Клиентом Exchange ActiveSync является физическое устройство, которое используется для синхронизации с сервером Exchange 2007.
Обычная проверка подлинности
Обычная проверка подлинности — это наиболее простой способ проверки подлинности. При обычной проверке подлинности сервер запрашивает у клиента имя пользователя и пароль, которые отправляются на сервер через Интернет в виде открытого текста. Сервер проверяет допустимость имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. Тем не менее рекомендуется отключить обычную проверку подлинности, если при этом не развернут протокол SSL. При использовании обычной проверки подлинности с SSL имя пользователя и пароль отправляются в виде отрытого текста, но коммуникационный канал шифруется.
Проверка подлинности на основе сертификатов
При проверке подлинности на основе сертификатов для проверки удостоверения используются цифровые сертификаты. При проверке подлинности на основе сертификатов кроме имени пользователя и пароля используется другой вид учетных данных, с помощью которых идентифицируется пользователь, получающий доступ к ресурсам почтового ящика, которые хранятся на сервере Exchange 2007. Цифровой сертификат состоит из двух компонентов — закрытого ключа, который хранится на устройстве, и открытого ключа, который установлен на сервере. Если настроить Exchange 2007 на требование проверки подлинности на основе сертификатов для Exchange ActiveSync, с Exchange 2007 смогут синхронизироваться только устройства, отвечающие следующим требованиям:
установлен допустимый сертификат клиента для устройства, который был создан для проверки подлинности пользователя;
на устройстве установлен доверенный корневой сертификат сервера, к которому оно подключается для установки SSL-соединения.
Развертывание проверки подлинности на основе сертификатов предотвращает синхронизацию с Exchange 2007 пользователей, которые имеют только имя пользователя и пароль. Для повышения безопасности сертификат клиента для проверки подлинности может устанавливаться только в том случае, если устройство подключено к компьютеру, входящему в домен, с помощью Desktop ActiveSync 4.5 или более поздней версии в Windows XP либо центра устройств Windows в Windows Vista.
Системы проверки подлинности на основе маркеров
Системы проверки подлинности на основе маркеров являются двухфакторными. При двухфакторной проверке подлинности используются данные, известные пользователю (такие как пароль), и внешнее устройство, обычно в форме кредитной карты или брелока, которое пользователи могут носить с собой. Каждое устройство имеет уникальный серийный номер. Кроме аппаратных маркеров, некоторые поставщики предлагают программные маркеры, которые могут выполняться на мобильных устройствах.
Маркеры выводят уникальный номер (обычно длиной в шесть цифр), который меняется каждые 60 секунд. При выдаче маркера пользователю он синхронизируется с программным обеспечением сервера. Для проверки подлинности пользователь вводит имя пользователя, пароль и номер, который в данный момент выводится маркером. В некоторых системах проверки подлинности на основе маркеров также требуется ввести ПИН.
Проверка подлинности на основе маркеров — надежный способ проверки подлинности. Ее недостатком является необходимость установки на сервере программного обеспечения для проверки подлинности и развертывание такого программного обеспечения на компьютеры и мобильные устройства всех пользователей. Кроме того, существует риск утраты внешнего устройства, а замена утраченных устройств может требовать значительных затрат. Тем не менее сторонние лица не смогут воспользоваться устройством без сведений для проверки подлинности первоначального пользователя.
Существует несколько компаний, которые распространяют системы проверки подлинности на основе маркеров. Одной из таких компаний является RSA. Ее продукт, SecurID, предлагается в различных формах, в том числе в виде брелока и кредитной карты. Маркер выдает одноразовый код проверки подлинности. Каждый код проверки подлинности действует в течение 60 секунд. На большинстве таких устройств также есть индикатор срока действия, например группа точек, которые исчезают при сокращении времени действия кода. Это не позволяет ввести правильный код, срок действия которого истечет до завершения проверки подлинности. После проверки подлинности пользователю не требуется выполнять ее повторно с новым кодом до выхода из системы (вручную или из-за истечения времени ожидания при бездействии устройства). Дополнительные сведения о настройке конкретной системы проверки подлинности на основе маркеров см. в ее документации.
Дополнительные сведения
Дополнительные сведения о проверке подлинности и безопасности Exchange ActiveSync см. в следующих разделах: