为 Outlook Web App 配置标准身份验证方法
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-10-14
标准身份验证方法有助于保护 Outlook Web App 的 Microsoft Exchange Server 2010 客户端访问服务器。
在 Exchange 2010 中,客户端访问服务器支持针对 Exchange 2010 虚拟目录的集成 Windows 身份验证和 HTTP 1.1 摘要式身份验证。在只运行客户端访问服务器角色的服务器上的 Exchange 2010 虚拟目录只支持基本身份验证和基于表单的身份验证。
标准身份验证方法包括基本身份验证、摘要式身份验证和集成 Windows 身份验证。
备注
默认情况下,Exchange 2010 会启用基于表单的身份验证。
目录
基本身份验证
摘要式身份验证
集成 Windows 身份验证
基本身份验证
基本身份验证是一种由 HTTP 规范定义的简单身份验证机制,该机制在将用户的凭据发送到服务器之前对用户的登录名和密码进行编码。
基本身份验证不支持单一登录。Windows Server 2008 身份验证对所有网络资源启用单一登录。通过单一登录,用户使用一个密码或一张智能卡只需登录到域一次,即对该域中任何一台计算机完成了身份验证。
所有 Web 浏览器都支持基本身份验证,但是除非要求安全套接字层 (SSL) 加密,否则基本身份验证并不安全。
摘要式身份验证
为获得附加安全性,摘要式身份验证将密码作为一个哈希值通过网络传递。摘要式身份验证只能用于 Windows Server 2008、Windows Server 2003 和 Microsoft Windows 2000 Server 域中其帐户存储在 Active Directory 中的那些用户。有关摘要式身份验证的详细信息,请参阅 Windows Server 2008 和 Internet 信息服务 (IIS) 管理员文档。
摘要式身份验证仅在 Exchange 2010 虚拟目录上可用。
重要
如果使用摘要式身份验证或基本身份验证,当用户使用网亭,且无法关闭浏览器并结束会话之间的浏览器进程时,缓存凭据会带来安全风险。发生风险是因为下一个用户访问网亭时,用户的凭据仍保留在缓存中。若要在网亭中启用 Outlook Web App,请确保用户能关闭会话之间的浏览器,并结束浏览器进程。否则,请考虑使用集成了双要素身份验证的第三方产品,其中,用户必须具有物理令牌以及密码才可以在网亭中使用 Outlook Web App。
集成 Windows 身份验证
集成 Windows 身份验证要求用户具有有效的 Windows Server 2008 或 Windows Server 2003 或 Windows 2000 Server 用户帐户名和密码才能访问信息。系统不会提示登录到本地网络的用户输入用户名和密码。相反,该服务器会与客户端计算机上安装的 Windows 安全程序包进行协商。通过此方法,服务器无须提示用户输入登录信息即可对用户进行身份验证。身份验证凭据是受保护的,但所有其他通信将以纯文本形式发送,除非使用 SSL。
在仅安装了客户端访问服务器角色的 Exchange 2010 服务器上,集成 Windows 身份验证只能与 Exchange 2010 虚拟目录一起使用。在安装了客户端访问角色和邮箱角色的服务器上,集成 Windows 身份验证可以与任何虚拟目录一起使用。有关集成 Windows 身份验证的详细信息,请参阅 Windows Server 2008 文档。
备注
只有运行 Windows 操作系统和 Internet Explorer 的计算机才支持集成 Windows 身份验证。集成 Windows 身份验证可以与其他 Web 浏览器配合工作,前提是已将这些浏览器配置为将用户的登录凭据传递到要求身份验证的服务器。