为 Outlook Web Access 配置基于表单的身份验证
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2008-11-24
本主题介绍对 Microsoft Exchange Server 2007 中的 Microsoft Office Outlook Web Access 基于表单的身份验证。基于表单的身份验证允许 Outlook Web Access 的登录页使用 Cookie 将用户的加密登录凭据存储在 Internet 浏览器中。通过跟踪此 Cookie 的使用,使 Exchange 服务器可以监视公用计算机和私有计算机上的 Outlook Web Access 会话的活动。如果会话未活动的时间太长,服务器将阻止访问,直到用户重新进行身份验证。
使用 Cookie 控制访问
初次将用户名和密码发送到客户端访问服务器以对 Outlook Web Access 会话进行身份验证时,将创建一个加密的 Cookie,用于跟踪用户活动。当用户关闭 Internet 浏览器或单击“注销”注销其 Outlook Web Access 会话时,该 Cookie 将被清除。只有用户初次登录时才将用户名和密码发送到客户端访问服务器。初次登录完成之后,客户端计算机与客户端访问服务器之间的身份验证将只使用 Cookie。
为公用计算机上的 Cookie 设置超时值
默认情况下,如果用户选中了 Outlook Web Access 登录页上的“此计算机是公用计算机或共享计算机”选项,计算机上的 Cookie 将自动过期,并且用户将在 15 分钟未使用 Outlook Web Access 之后注销。
自动超时非常有用,因为可以避免未经授权访问用户帐户。为了满足组织的安全需要,可以在 Exchange 客户端访问服务器上配置未活动超时值。
虽然自动超时明显降低了未授权访问的风险,但并不能排除这样一种可能,即如果使会话在公用计算机上一直运行,则未经授权的用户可能会访问 Outlook Web Access 帐户。因此,应务必警告用户采取预防措施来避免风险,例如在用户使用完 Outlook Web Access 之后,通知用户从 Outlook Web Access 注销并关闭 Web 浏览器。
有关如何配置公用计算机的 Cookie 超时值的详细信息,请参阅如何使用基于窗体的身份验证设置公用计算机的 Cookie 超时值。
为私人计算机上的 Cookie 设置超时值
如果用户选中了 Outlook Web Access 登录页上的“此计算机是私人计算机”选项,Exchange 服务器将在自动结束 Outlook Web Access 会话之前留出更长的未活动时间。私人登录的默认超时值是八个小时。私人计算机的 Cookie 超时选项用于帮助使用自己的计算机或公司网络中的计算机的 Outlook Web Access 用户。
必须警告用户选中“此计算机是私人计算机”选项所存在的风险。仅当用户是计算机的唯一操作员,并且计算机遵守组织的安全策略时,用户才应选择私人计算机选项。
有关如何配置私人计算机的 Cookie 超时值的详细信息,请参阅如何使用基于窗体的身份验证设置私人计算机的 Cookie 超时值。
确定用户活动
如果 Outlook Web Access 会话在特定时段内未活动,客户端访问服务器将不再拥有读取 Cookie 的解密密钥,用户将被拒绝访问,直到用户重新进行身份验证。
Exchange 2007 使用以下信息确定用户活动:
由用户发起的客户端计算机与客户端访问服务器之间的交互被视为是活动。例如,如果用户打开、发送或保存项目,切换文件夹或模块,或者更新视图或 Web 浏览器窗口,Exchange 2007 则将此交互视为活动。
.gif "note")
注意:由客户端访问服务器自动生成的客户端计算机与服务器之间的交互不会被视为活动。例如,Outlook Web Access 会话中由客户端访问服务器生成的新电子邮件通知和提醒不会被视为活动。 在 Outlook Web Access 基本客户端中,除了输入文本之外的任何其他用户活动均被视为活动。在 Outlook Web Access 高级客户端中,任何用户交互(包括在电子邮件或会议请求中输入文本)均被视为活动。
配置基于表单的身份验证使用的登录提示
基于表单的身份验证不使用弹出窗口,而是为 Outlook Web Access 创建登录页。可以使用 Exchange 管理控制台或 Exchange 命令行管理程序配置基于表单的身份验证所提供的登录提示文本。所做的配置更改只会更改登录提示文本,不会更改用户登录必须使用的格式。例如,可以配置基于表单的身份验证登录页,提示用户使用域名\用户名的格式提供登录信息。不过,用户也可以输入自己的主用户名 (UPN),而且会成功登录。
基于表单的身份验证在 Outlook Web Access 登录页上可以使用下列类型的登录提示。选择用户最容易理解和使用的提示。
FullDomain 以“域\用户名”的格式表示的用户的域及用户名。例如 Contoso\Kweku。
PrincipalName UPN。UPN 分为两个部分:UPN 前缀(用户帐户名)和 UPN 后缀(DNS 域名)。前缀和后缀通过 @ 符号连接在一起,组成完整的 UPN。例如,Kweku@contoso.com。用户可以通过输入主电子邮件地址或输入 UPN 访问 Outlook Web Access。
UserName 仅包含用户名。不包含域名。例如 Kweku。只有已配置了域名,此登录格式才有效。
注意:如果需要,可以通过配置 Active Directory 目录服务和 Internet 信息服务 (IIS),更改用户登录到 Outlook Web Access 必须使用的格式。使用 Active Directory 和 IIS 设置用户进行身份验证时可以输入的用户名格式,与前面所述的 Outlook Web Access 基于表单的身份验证的提示无关。
了解用户从公用计算机和私人计算机登录时的加密
公共和私人 Outlook Web Access 登录类型的用户登录凭据加密包括一组六个哈希值邮件身份验证代码 (HMAC)。HMAC 是客户端访问服务器上生成的 160 位密钥。HMAC 通过将哈希算法与加密功能相结合来对用户登录凭据进行加密,可以提高登录的安全性。Cookie 的加密和解密由同一台客户端访问服务器执行。只有生成身份验证密钥的客户端访问服务器拥有对该 Cookie 进行解密的密钥。
如果对 Outlook Web Access 使用基于表单的身份验证,则客户端访问服务器将以设定的速率遍历每种登录类型(公共和私人)三个一组的密钥。此时间称为再循环时间。密钥的再循环时间是登录超时值的一半。例如,如果公共登录的超时值设置为 15 分钟,则公钥的再循环时间为 7.5 分钟。
客户端访问服务器在 Outlook Web Access 虚拟目录启动时创建六个登录密钥。三个登录密钥用于公用计算机登录,三个登录密钥用于私人计算机登录。在用户登录时,将使用其登录类型的当前密钥将用户的身份验证信息加密放入 Cookie 中。
如果再循环时间已到,客户端访问服务器将转移到下一个密钥。使用了某个登录类型的全部三个密钥之后,客户端访问服务器将删除最早的密钥并新建一个密钥。客户端访问服务器始终保持每种登录类型可以使用三个密钥:当前密钥以及两个最近的密钥。只要客户端访问服务器上正在运行 Outlook Web Access,密钥的再循环就会继续进行。所有用户使用相同的密钥。
将接受任何已使用活动密钥加密的 Cookie。客户端访问服务器收到用户活动请求之后,该请求的 Cookie 将替换为使用最新的密钥加密的新 Cookie。通过已丢弃的较早密钥加密与用户会话关联的 Cookie 时,用户会话则超时。
由于加密密钥的再循环时间与服务器上配置的用户超时之间的关系,用户的实际超时时间可以介于配置的超时到配置的超时加上该值的一半之间。例如,如果配置的超时是 30 分钟,则任何用户会话的实际超时可以介于 30 分钟到 45 分钟之间。
表 1 提供了 Cookie 超时以及身份验证密钥再循环时间的有关信息(根据用户从公用计算机还是私人计算机登录)。
表 1 每种用户登录类型的默认 Cookie 超时以及身份验证密钥再循环时间
| 登录 | Cookie 超时值 | 在使用默认超时值时,身份验证密钥的再循环时间 |
|---|---|---|
公共 |
一分钟到 30 天。默认值为 15 分钟。 |
7.5 分钟 |
私人 |
一分钟到 30 天。默认值为 8 小时。 |
4 小时 |
| 注意: |
|---|
| 可以使用注册表配置 Cookie 超时值(分钟)。身份验证密钥的再循环时间至少是 Cookie 超时值的三分之一,并且不得超过一半。 |
使用 SSL 帮助保护 Outlook Web Access
默认情况下,在安装客户端访问服务器角色时将启用安全套接字层 (SSL) 加密。如果不使用 SSL,则在初次登录时,将以明文的形式发送用户名和密码。如果使用 SSL,则将对客户端计算机与客户端访问服务器之间的所有通信进行加密,这样有助于避免第三方查看敏感的信息(例如用户名、密码和电子邮件)。
默认 SSL 证书随客户端访问服务器角色一起安装,但是不是受信任证书。如果使用默认 SSL 证书,该证书必须是受信任的证书,否则,在用户每次登录 Outlook Web Access 时都会出现一条提示,询问用户是否信任该证书。有关如何使用默认 SSL 证书的信息,请参阅如何使用其他受信任的证书替换默认 SSL 证书。
详细信息
有关如何管理 SSL 的详细信息,请参阅管理客户端访问服务器的 SSL。
有关如何配置基于表单的身份验证的登录页的详细信息,请参阅如何为 Outlook Web Access 配置基于表单的身份验证。
有关如何配置公用计算机上的 Outlook Web Access 虚拟目录的 Cookie 超时值的详细信息,请参阅如何使用基于窗体的身份验证设置公用计算机的 Cookie 超时值。
有关如何配置私人计算机上的 Outlook Web Access 虚拟目录的 Cookie 超时值的详细信息,请参阅如何使用基于窗体的身份验证设置私人计算机的 Cookie 超时值。
有关安全的详细信息,请参阅管理客户端访问安全性。
有关如何自定义基于表单的身份验证的登录页的详细信息,请参阅管理 Outlook Web Access 高级功能。