为 Exchange ActiveSync 配置身份验证

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2009-12-01

身份验证是客户端和服务器验证其身份以进行数据传输的过程。在 Microsoft Exchange Server 2010 中,身份验证用于确定要与 Exchange 服务器进行通信的用户或客户端是谁,或是否与其声称的身份相符。可以使用身份验证来验证某设备是否属于某一特定用户,或者某一特定用户是否正在尝试登录到 Microsoft Office Outlook Web App。

当安装 Exchange 2010 和客户端访问服务器角色时,将为多个服务配置虚拟目录。其中包括 Outlook Web App、可用性服务、统一消息和 Microsoft Exchange ActiveSync。默认情况下,每个虚拟目录被配置为使用一种身份验证方法。对于 Exchange ActiveSync,虚拟目录被配置为使用基本身份验证和安全套接字层 (SSL)。可以通过在 Exchange ActiveSync 虚拟目录上更改身份验证方法来更改 Exchange ActiveSync 服务器的身份验证方法。

本主题总结了 Exchange ActiveSync 服务器的可用身份验证方法。对于 Exchange ActiveSync,客户端是用于与 Exchange 2010 服务器进行同步的物理设备。

若要了解与 Exchange ActiveSync 相关的管理任务,请参阅管理 Exchange ActiveSync

目录

选择身份验证方法

基本身份验证

基于证书的身份验证

基于标记的身份验证系统

有三种主要的身份验证类型可选择用于 Exchange ActiveSync:基本身份验证、基于证书的身份验证和基于标记的身份验证。当在运行 Exchange 2010 的计算机上安装客户端访问服务器角色时,Exchange ActiveSync 将配置为结合使用基本身份验证与 SSL。若要建立 SSL 连接,基于证书的身份验证要求移动设备要安装为进行用户身份验证而创建的有效客户端证书。此外,移动设备必须从服务器处获得受信任的根证书的副本。如果选择基于标记的身份验证,您必须与标记供应商协作以进行配置。

基本身份验证是最简单的身份验证方法。使用基本身份验证时,服务器要求客户端提交用户名和密码。提交的用户名和密码将以明文形式通过 Internet 发送到服务器。服务器验证提供的用户名和密码是否有效,如果有效,则授予对客户端的访问权限。默认情况下,对 Exchange ActiveSync 启用此类型的身份验证。但是,除非您还要部署 SSL,否则,建议您禁用基本身份验证。使用基于 SSL 上的基本身份验证时,用户名和密码仍以纯文本形式发送,但会对通信信道进行加密。

基于证书的身份验证使用数字证书来验证身份。除了用户名和密码,还提供其他凭据。这些可以证明正在尝试访问存储在 Exchange 2010 服务器上的邮箱资源用户的身份。数字证书由两部分组成:存储在设备上的私钥和安装在服务器上的公钥。如果将 Exchange 2010 配置为要求对 Exchange ActiveSync 进行基于证书的身份验证,则只有满足以下条件的设备可以与 Exchange 2010 进行同步:

  • 设备安装了为进行用户身份验证而创建的有效的客户端证书。

  • 设备拥有用户为建立 SSL 连接而连接到的服务器的受信任根证书。

部署了基于证书的身份验证之后,只有用户名和密码的用户将无法与 Exchange 2010 进行同步。用于身份验证的客户端证书具有更高的安全级别,仅当设备通过 Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Windows Vista 或 Windows 7 中的 Windows Mobile 设备中心连接到加入域的计算机时,才安装用于身份验证的客户端证书。

基于标记的身份验证系统是一个双重身份验证系统。双重身份验证是基于用户所知的一条信息(如自己的密码)以及一个用户可以随身携带的外部设备(通常以信用卡或密钥卡的形式)。每个设备都有唯一的序列号。除了硬件标记,一些供应商还提供可在移动设备上运行的基于软件的标记。

令牌的工作方式是显示唯一编号,长度通常为六位,该编号每隔 60 秒更改一次。令牌颁发给用户后,将与服务器软件进行同步。若要进行身份验证,用户需要输入其用户名、密码以及令牌上当前显示的编号。某些基于标记的身份验证系统还要求用户输入 PIN。

基于标记的身份验证是一种强身份验证形式。基于令牌的身份验证的缺点在于,必须在每个用户的计算机或移动设备上安装身份验证服务器软件并部署身份验证软件。而且,还面临着用户可能会丢失外部设备的风险。由于需要更换丢失的外部设备,所以成本可能会很高。但是,如果没有原用户的身份验证信息,该设备对于第三方毫无价值。

有多家公司发布了基于令牌的身份验证系统。其中一家是 RSA。其产品 SecurID 形式多样,其中包括密钥卡和信用卡。一次性身份验证代码通过标记发送。每个身份验证代码的有效期为 60 秒。大多数标记在设备上还有一个过期指示器,例如,随着代码的剩余有效时间越来越短,一系列的点也将慢慢消失。这有助于避免用户输入了正确代码,但在身份验证过程完成之前其已过期。身份验证完成之后,除非由于用户选择或者设备不活动时间超时而注销,否则,不必使用新代码进行身份验证。有关如何配置基于标记的身份验证系统的详细信息,请参阅针对该特定系统的文档。

 © 2010 Microsoft Corporation。保留所有权利。
显示: