Настройка проверки подлинности на основе форм для Outlook Web App

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2015-03-09

Проверка подлинности на основе форм предполагает использование страницы входа в Exchange Server 2010 Outlook Web App с хранением зашифрованных учетных данных в веб-браузере с использованием файлов «cookie». Трассировка использования файлов «cookie» позволяет серверу Exchange отслеживать деятельность пользователя в сеансах работы Outlook Web App на общих и частных компьютерах. Если сеанс работы неактивен в течение слишком длительного времени, сервер блокирует доступ до повторного ввода пользователем своих учетных данных.

При первичной отправке имени пользователя и пароля на сервер клиентского доступа для проверки подлинности сеанса работы в Outlook Web App создается зашифрованный файл «cookie», который используется для отслеживания деятельности пользователя. Когда пользователь закрывает веб-браузер или нажимает кнопку Выход для завершения сеанса работы в Outlook Web App, файл «cookie» очищается. Имя пользователя и пароль отправляются на сервер клиентского доступа только при первом входе пользователя. Впоследствии для проверки подлинности между клиентским компьютером и сервером клиентского доступа используется только файл «cookie».

Если пользователь выбрал на странице входа в Outlook Web App параметр Это общедоступный или совместно используемый компьютер, по умолчанию срок действия файла «cookie» на данном компьютере истекает, если Outlook Web App не использовался в течение 15 минут, что приводит к завершению сеанса работы пользователя.

Автоматическое отключение полезно, поскольку помогает защитить учетные записи пользователей от неавторизованного доступа. Чтобы обеспечить соответствие требованиям безопасности в организации, можно настроить на сервере клиентского доступа Exchange период бездействия пользователя, по истечению которого сеанс работы данного пользователя будет завершен.

Хотя автоматическое отключение уменьшает опасность несанкционированного доступа к учетной записи Outlook Web App, оно не полностью устраняет ее, если сеанс на общедоступном компьютере остался в рабочем состоянии. Поэтому следует уведомить пользователей о необходимых мерах предосторожности. Например, рекомендовать им выйти из Outlook Web App и закрыть веб-браузер после завершения работы с Outlook Web App.

Дополнительные сведения о настройке значений автоматического отключения после периода ожидания для файла «cookie» на общих компьютерах см. в разделе Установка значения времени ожидания файлов «Cookie» общедоступного компьютера для проверки подлинности на основе форм.

Если пользователь выбрал на странице входа в  Outlook Web App параметр Это частный компьютер, на сервере Exchange предоставляется более длительный период бездействия пользователя перед автоматическим завершением сеанса работы Outlook Web App. При входе в систему с частного компьютера время ожидания по умолчанию составляет восемь часов. Так как существует связь между временем рециркуляции ключей шифрования и установленным на сервере значением времени ожидания, то фактическое время ожидания при входе в систему с частного компьютера по умолчанию может составлять от восьми до двенадцати часов. Дополнительные сведения см. в разделе Общие сведения о шифровании данных пользователя при входе с частных и общих компьютеров. Такое значение периода ожидания до отключения задается в файле «cookie», находящемся на частном компьютере, чтобы обеспечить удобство работы пользователей Outlook Web App, которые работают на собственном компьютере или компьютере, включенном в корпоративную сеть.

Важно предупредить пользователей о рисках, которые возникают при выборе параметра Это частный компьютер. Пользователю следует указать параметр частного компьютера только в том случае, если он пользуется этим компьютером один и компьютер соответствует политикам безопасности организации.

Дополнительные сведения о настройке периода ожидания до отключения в файлах «cookie» для частного компьютера см. в разделе Установка значения времени ожидания файлов «Cookie» личного компьютера для проверки подлинности на основе форм.

В начало

Если сеанс работы с Outlook Web App неактивен в течение определенного времени, сервер клиентского доступа утрачивает ключ описания для чтения файла «cookie» и пользователю будет отказано в доступе до повторной проверки подлинности.

В Exchange 2010 для определения деятельности пользователя используются следующие данные:

  • Деятельностью считается обмен данными между клиентским компьютером и сервером клиентского доступа, начатый пользователем. Например, если пользователь открывает, отправляет или сохраняет элемент, переключается между папками или модулями либо обновляет окно веб-обозревателя, это считается в Exchange 2010 деятельностью.

    ПримечаниеПримечание.
    Деятельностью не считается обмен данными между клиентским компьютером и сервером клиентского доступа, автоматически начатый сервером. Например, уведомления по электронной почте и оповещения, созданные сервером клиентского доступа в течение сеанса работы с Outlook Web App, не считаются деятельностью.
  • В Outlook Web App деятельностью считаются все действия, выполняемые пользователем, включая ввод текста в сообщение электронной почты или приглашение на собрание. В облегченной версии Outlook Web App деятельностью считаются все действия, выполняемые пользователем, за исключением ввода текста.

Вместо всплывающего окна при проверке подлинности на основе форм создается страница входа в Outlook Web App. Проверку подлинности на основе форм можно настроить с помощью консоли управления Exchange или командной консоли Exchange. Внесенные изменения применяются только к тексту сообщения при входе. Они не меняют формат, который должен применять пользователь при входе в систему. Например, можно настроить проверку подлинности на основе форм таким образом, чтобы на странице входа пользователям предлагалось ввести свои сведения в формате «домен\имя_пользователя». Тем не менее, для входа можно также ввести имя участника-пользователя.

При проверке подлинности на основе форм на странице входа в Outlook Web App могут использоваться следующие типы приглашений. Выберите приглашение, которое будет наиболее понятным и удобным для пользователей.

  • Полный домен   Это домен и имя пользователя в формате «домен\имя пользователя». Например, «Contoso\Kweku».

  • Имя участника   Имя участника-пользователя. Имя участника-пользователя состоит из двух частей: префикса имени участника-пользователя, который является именем учетной записи пользователя, и суффикса имени участника-пользователя, который представляет собой доменное имя DNS. Префикс и суффикс объединены в полное имя участника-пользователя знаком @. Например: Kweku@contoso.com. Для получения доступа к Outlook Web App пользователи могут вводить свой основной адрес электронной почты или имя участника-пользователя.

  • Имя пользователя   Только имя пользователя. Имя домена не будет включено. Например, «Kweku». Этот формат входа применяется только в том случае, если настроено доменное имя.

    ПримечаниеПримечание.
    При необходимости можно изменить формат, в котором пользователь должен указывать свои данные для входа в Outlook Web App, путем настройки Служба каталогов Active Directory и служб IIS. Форматы имени пользователя, заданные с помощью Служба каталогов Active Directory и служб IIS, при применении которых пользователь успешно пройдет проверку подлинности, не связаны с сообщением проверки подлинности на основе форм Outlook Web App, как было указано ранее.

В начало

Шифрование учетных данных пользователей при входе в Outlook Web App как с частного, так и с общего компьютеров предполагает использование набора из шести хешированных кодов проверки подлинности сообщений. Хэшированный код проверки подлинности сообщения представляет собой 160-битный ключ, который создается на сервере клиентского доступа. Применение хешированных кодов проверки подлинности сообщений повышает уровень безопасности при входе, поскольку позволяет сочетать при шифровании учетных данных пользователей алгоритмы хеширования с криптографическими функциями. Шифрование и расшифровка файла «cookie» выполняются на одном сервере клиентского доступа. Только сервер клиентского доступа, создавший ключ проверки подлинности, обладает ключом для расшифровки файла «cookie».

При использовании проверки подлинности на основе форм сервер клиентского доступа циклически переключается с заданной скоростью между тремя ключами одного набора для каждого типа входа с общего или частного компьютера. Это называется временем рециркуляции. Время рециркуляции для ключа составляет половину от значения времени ожидания до отключения для данного типа входа. Например, если значение параметра времени ожидания до отключения составляет 15 минут, для ключа будет установлено время рециркуляции 7,5 минут.

Шесть ключей входа создаются на сервере клиентского доступа при запуске виртуальных каталогов  Outlook Web App. Три ключа используются для входа с общих компьютеров, три — для входа с частных компьютеров. Когда пользователь выполняет вход в систему, учетные данные пользователя зашифровываются в файле «cookie» с использованием текущего ключа для соответствующего типа входа.

По истечении времени рециркуляциии сервер клиентского доступа переходит к использованию другого ключа. После того, как были использованы все три ключа, предназначенные для одного типа входа, сервер клиентского доступа удаляет самый старый ключ и создает вместо него новый. Сервер клиентского доступа всегда имеет три ключа для каждого типа доступа: текущий ключ и два самых новых ключа. Рециркуляция ключей продолжается в течение всего периода работы Outlook Web App на сервере клиентского доступа. Для всех пользователей применяются одни и те же ключи.

Будет принят любой файл «cookie», зашифрованный с использованием активного ключа. Если сервер клиентского доступа получает запрос действий пользователя, файл «cookie» для этого запроса замещается новым файлом «cookie», зашифрованным с использованием самого нового ключа. Сеанс работы пользователя автоматически завершается, если связанный с этим сеансом файл «cookie», который был зашифрован с использованием более старого ключа, был отклонен.

Так как существует связь между временем рециркуляции ключей шифрования и установленным на сервере значением периода ожидания до отключения, фактический период ожидания до отключения для пользователя находится в диапазоне от одного до полутора значений параметра периода ожидания до отключения. Например, если отключение выполняется по истечении 30 минут, фактический период ожидания до отключения для сеанса работы пользователя составит от 30 минут до 45 минут.

В следующей таблице приводятся сведения о времени ожидания до отключения для файла «cookie», а также о времени рециркуляции ключей проверки подлинности при входе с общего или частного компьютера.

Время ожидания до отключения, указанное в файле «cookie», и время рециркуляции ключей для каждого из типов входа пользователя

Вход Период ожидания до отключения, указанный в файле «cookie» Время рециркуляции ключей проверки подлинности при использовании значения периода ожидания до отключения, установленного по умолчанию

Общий компьютер

От одной минуты до 30 дней. Значение по умолчанию — 15 минут.

7,5 минут

Частный компьютер

От одной минуты до 30 дней. Значение по умолчанию — 8 часов.

4 часа

ПримечаниеПримечание.
Значение периода ожидания до отключения для файла «cookie» можно настроить с использованием реестра. Время рециркуляции ключей проверки подлинности составляет не менее одной трети и не более половины значения периода ожидания до отключения, заданного для файла «cookie».

В начало

По умолчанию SSL-шифрование включается при установке роли сервера клиентского доступа. Если SSL не используется, при первоначальном входе имя пользователя и пароль пересылаются в виде обычного текста. Если SSL используется, с его помощью шифруются все данные, которые передаются между клиентским компьютером и сервером клиентского доступа, что помогает предотвратить просмотр посторонними лицами конфиденциальных сведений, таких как имена пользователей, пароли и сообщения электронной почты.

В начало

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.
Показ: