Konfigurieren der Authentifizierung für Outlook Web Access
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-04-10
In diesem Thema werden die Authentifizierungstypen erläutert, die für Microsoft Office Outlook Web Access in Microsoft Exchange Server 2007 zur Verfügung stehen. Die optimal für Ihre Organisation geeignete Authentifizierungsmethode ist von den Sicherheitsansprüchen Ihrer Organisation abhängig Standardmäßig verwendet Outlook Web Access die formularbasierte Authentifizierung und ist für die Verwendung von SSL-Verschlüsselung (Secure Sockets Layer) konfiguriert.
Hinweis
Microsoft Exchange Server 2003-Back-End-Server unterstützen formularbasierte, Standard-, integrierte Windows- und Digestauthentifizierung. Exchange Server 2003-Front-End-Server unterstützen keine integrierte Windows- oder Digestauthentifizierung.
Formularbasierte Authentifizierung
Bei der formularbasierten Authentifizierung wird eine Anmeldeseite für Outlook Web Access bereitgestellt, die ein Cookie zum Speichern der verschlüsselten Anmeldeinformationen eines Benutzers im Internetbrowser verwendet. Durch die Verfolgung der Verwendung dieses Cookies kann auf dem Exchange-Server die Aktivität von Outlook Web Access-Sitzungen auf öffentlichen und privaten Computern überwacht werden. Wenn eine Sitzung zu lange inaktiv ist, blockiert der Server den Zugriff, bis sich der Benutzer erneut authentifiziert.
Wenn der Benutzername und das Kennwort zum ersten Mal zur Authentifizierung einer Outlook Web Access-Sitzung an den Clientzugriffsserver gesendet werden, wird ein verschlüsseltes Cookie erstellt, mit dem die Benutzeraktivität verfolgt wird. Wenn der Benutzer den Internetbrowser schließt oder auf Abmelden klickt, um sich von der Outlook Web Access-Sitzung abzumelden, wird der Cookie gelöscht. Der Benutzername und das Kennwort werden nur bei der erstmaligen Benutzeranmeldung an den Clientzugriffsserver gesendet. Nachdem die erstmalige Anmeldung erfolgt ist, wird für die Authentifizierung zwischen dem Clientcomputer und dem Clientzugriffsserver nur noch das Cookie benötigt.
Weitere Informationen zum Konfigurieren der formularbasierten Authentifizierung finden Sie unter:
Konfigurieren der formularbasierten Authentifizierung für Outlook Web Access
Konfigurieren der formularbasierten Authentifizierung für Outlook Web Access
Festlegen des Timeoutwerts für Cookies
Der Timeout für Cookies wird auf Grundlage der vom Benutzer auf der Outlook Web Access-Anmeldeseite gewählten Option Dies ist ein öffentlicher oder freigegebener Computer oder Dies ist ein privater Computer festgelegt. Standardmäßig läuft der Cookie auf dem Computer automatisch ab, und der Benutzer wird abgemeldet, wenn Outlook Web Access 15 Minuten lang nicht verwendet wurde, wenn die Option für öffentliche Computer aktiviert wurde. Wurde die Option für private Computer gewählt, erfolgt die Abmeldung, nachdem Outlook Web Access acht Stunden lang nicht verwendet wurde.
Der automatische Timeout ist von großem Wert, da so die Benutzerkonten besser vor nicht autorisiertem Zugriff geschützt werden. Um den Sicherheitsanforderungen Ihrer Organisation gerecht zu werden, können Sie die Timeoutwerte für Inaktivität auf dem Exchange-Clientzugriffsserver konfigurieren.
Obwohl auf diese Weise das Risiko eines nicht autorisierten Zugriffs auf ein Outlook Web Access-Konto erheblich gesenkt werden kann, ist diese Gefahr dennoch nicht völlig auszuschließen, wenn eine Sitzung auf einem öffentlichen Computer nicht beendet wird. Fordern Sie die Benutzer daher unbedingt dazu auf, Vorsichtsmaßnahmen zur Vermeidung von Risiken zu ergreifen, indem Sie sie beispielsweise bitten, sich bei Outlook Web Access abzumelden oder den Webbrowser zu schließen, wenn sie Outlook Web Access nicht mehr verwenden.
Weitere Informationen zum Konfigurieren von Timeoutwerten für Cookies auf öffentlichen und privaten Computern finden Sie unter:
Standardauthentifizierungsmethoden
In diesem Thema werden Standardauthentifizierungsmethoden beschrieben, die bei der Absicherung des Exchange 2007-Clientzugriffsservers für Outlook Web Access helfen.
In Exchange 2007 unterstützen Clientzugriffsserver die integrierte Windows-Authentifizierung sowie die HTTP 1.1-Digestauthentifizierung für virtuelle Exchange 2007-Verzeichnisse. Virtuelle Exchange 2000- und Exchange 2003-Verzeichnisse auf einem Server, auf dem nur die Serverfunktion ClientAccess ausgeführt wird, unterstützen nur die Standardauthentifizierung sowie die formularbasierte Authentifizierung.
Weitere Informationen über Standardauthentifizierungsmethoden finden Sie unter Konfigurieren von Standardauthentifizierungsverfahren für Outlook Web Access.
Standardauthentifizierung
Die Standardauthentifizierung ist ein einfacher, durch die HTTP-Spezifikation definierter Authentifizierungsmechanismus, der den Anmeldenamen und das Kennwort eines Benutzers codiert, bevor die Anmeldeinformationen des Benutzers an den Server gesendet werden.
Die Standardauthentifizierung unterstützt keine einmaligen Anmeldungen. Die Windows Server 2003-Authentifizierung ermöglicht einmalige Anmeldungen bei allen Netzwerkressourcen. Bei einer einmaligen Anmeldung kann sich ein Benutzer bei der Domäne mit einem einzigen Kennwort oder einer Smartcard ein einziges Mal anmelden und sich dann bei jedem Computer in der Domäne authentifizieren.
Die Standardauthentifizierung wird von allen Webbrowsern unterstützt, ist aber nur sicher, wenn SSL-Verschlüsselung (Secure Sockets Layer) angefordert wird.
Weitere Informationen zum Konfigurieren der Standardauthentifizierung in einem virtuellen Outlook Web Access-Verzeichnis finden Sie unter Konfigurieren der Standardauthentifizierung.
Digestauthentifizierung
Die Digestauthentifizierung überträgt zur Erhöhung der Sicherheit Kennwörter als Hashwert über das Netzwerk. Die Digestauthentifizierung kann nur in Microsoft Windows Server 2003- und Microsoft Windows 2000 Server-Domänen für Benutzer verwendet werden, die über ein Konto verfügen, das im Active Directory-Verzeichnisdienst gespeichert ist. Weitere Informationen über die Digestauthentifizierung finden Sie in der Dokumentation von Windows Server 2003 und IIS-Manager (Internetinformationsdienste).
Die Digestauthentifizierung ist nur für virtuelle Exchange 2007-Verzeichnisse verfügbar.
Wichtig
Wenn Sie die Digest- oder Standardauthentifizierung verwenden, wenn ein Benutzer einen Kiosk verwendet, kann das Zwischenspeichern von Anmeldeinformationen ein Sicherheitsrisiko darstellen, wenn der Benutzer den Browser zwischen Sitzungen nicht schließt und der Browserprozess nicht beendet wird. Dieses Risiko tritt auf, weil die Anmeldeinformationen eines Benutzers im Cache verbleiben, wenn der nächste Benutzer auf den Kiosk zugreift. Um Outlook Web Access in einem Kiosk zu aktivieren, müssen Sie sicherstellen, dass der Benutzer den Browser zwischen Sitzungen schließen und die Browserprozesse beenden kann. Andernfalls müssen Sie den Einsatz eines Drittanbieterprodukts mit zweistufiger Authentifizierung in Betracht ziehen, bei der der Benutzer ein physikalisches Token zusammen mit einem Kennwort vorweisen muss, um Outlook Web Access im Kiosk verwenden zu können.
Weitere Informationen zum Konfigurieren der Digestauthentifizierung in einem virtuellen Outlook Web Access-Verzeichnis finden Sie unter Konfigurieren der Digest-Authentifizierung.
Integrierte Windows-Authentifizierung
Die integrierte Windows-Authentifizierung erfordert für den Zugriff auf Informationen, dass Benutzer über einen gültigen Windows 2000 Server- oder Windows Server 2003-Benutzerkontonamen und ein zugehöriges Kennwort verfügen. Am lokalen Netzwerk angemeldete Benutzer werden nicht zur Eingabe von Benutzernamen und Kennwörtern aufgefordert, sondern der Server kommuniziert mit den Windows-Sicherheitspaketen, die auf dem Clientcomputer installiert sind. Diese Methode ermöglicht dem Server die Authentifizierung von Benutzern, ohne von diesen Anmeldeinformationen zu fordern. Die Anmeldeinformationen sind geschützt, aber die gesamte restliche Kommunikation wird unverschlüsselt gesendet, wenn nicht SSL verwendet wird.
Microsoft Internet Explorer ermöglicht einmalige Anmeldungen für Webanwendungen, zu denen unter anderem Outlook Web Access-Webparts gehört, wenn auf dem Server, auf den zugegriffen wird, die integrierte Windows-Authentifizierung aktiviert ist. Benutzer müssen ihre Anmeldeinformationen nur einmal pro Browsersitzung eingeben. Die Anmeldeinformationen werden aber im Browserprozess zwischengespeichert.
Auf einem Server mit Exchange 2007, auf dem lediglich die Serverfunktion ClientAccess installiert ist, kann die integrierte Windows-Authentifizierung nur für virtuelle Exchange 2007-Verzeichnisse verwendet werden. Auf einem Server, auf dem die Serverfunktionen ClientAccess und Mailbox installiert sind, kann die integrierte Windows-Authentifizierung für alle virtuellen Exchange 2007-Verzeichnisse verwendet werden. Weitere Informationen zur integrierten Windows-Authentifizierung finden Sie in der Windows Server 2003-Dokumentation.
Hinweis
Die integrierte Windows-Authentifizierung wird nur auf Computern unterstützt, auf denen ein Betriebssystem der Windows-Produktfamilie zusammen mit Internet Explorer ausgeführt wird. Die integrierte Windows-Authentifizierung kann mit anderen Webbrowsern funktionieren, wenn diese so konfiguriert wurden, dass sie die Anmeldeinformationen des Benutzers an den Server weitergeben, von dem die Authentifizierung angefordert wird.
Weitere Informationen zum Konfigurieren der integrierten Windows-Authentifizierung in einem virtuellen Outlook Web Access-Verzeichnis finden Sie unter Konfigurieren der integrierten Windows-Authentifizierung.
Weitere Informationen
- Weitere Informationen zum Sichern von Outlook Web Access finden Sie unter Verwalten der Sicherheit von Outlook Web Access.