为 Exchange ActiveSync 配置身份验证

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-04-06

身份验证是客户端和服务器验证其身份以进行数据传输的过程。在 Microsoft Exchange Server 2007 中,身份验证用于确定要与 Exchange 服务器进行通信的用户或客户端是谁,或是否与其声称的身份相符。您可以使用身份验证来验证某设备是否属于某一特定用户,或者某一特定用户是否正在尝试登录 Microsoft Office Outlook Web Access。

当安装 Exchange 2007 和客户端访问服务器角色时,将为多个服务配置虚拟目录。这些服务包括 Outlook Web Access、可用性服务、统一消息和 Microsoft Exchange ActiveSync。默认情况下,每个虚拟目录被配置为使用一种身份验证方法。对于 Exchange ActiveSync,虚拟目录被配置为使用基本身份验证和安全套接字层 (SSL)。可以通过在 Exchange ActiveSync 虚拟目录上更改身份验证方法来更改 Exchange ActiveSync 服务器的身份验证方法。

本主题概述了适用于 Exchange ActiveSync 服务器的身份验证方法。对于 Exchange ActiveSync,客户端是用于与 Exchange 2007 服务器同步的物理设备。

选择身份验证方法

有三种主要的身份验证类型可选择用于 Exchange ActiveSync:基本身份验证、基于证书的身份验证和基于标记的身份验证。当在运行 Exchange 2007 的计算机上安装客户端访问服务器角色时,Exchange ActiveSync 被配置为将基本身份验证与安全套接字层 (SSL) 结合使用。若要建立 SSL 连接,基于证书的身份验证要求移动设备具有为已安装的用户身份验证创建的有效客户端证书。此外,该移动设备必须从该服务器获得一份受信任的根证书。如果选择基于标记的身份验证,您必须与标记供应商协作以进行配置。

基本身份验证

基本身份验证是最简单的身份验证方法。使用基本身份验证时,服务器要求客户端提交用户名和密码。提交的用户名和密码将以明文形式通过 Internet 发送到服务器。服务器验证提供的用户名和密码是否有效,如果有效,则授予对客户端的访问权限。默认情况下,对 Exchange ActiveSync 启用此类型的身份验证。但是,建议您禁用基本身份验证,除非您还要部署安全套接字层 (SSL)。当在 SSL 的基础上使用基本身份验证时,用户名和密码仍以纯文本形式发送,但通信通道经过了加密。

基于证书的身份验证

基于证书的身份验证使用数字证书来验证身份。除了用户名和密码,基于证书的身份验证还提供其他凭据,以证明尝试访问存储在 Exchange 2007 服务器上的邮箱资源用户的身份。数字证书由两部分组成:存储在设备上的私钥和安装在服务器上的公钥。如果将 Exchange 2007 配置为需要 Exchange ActiveSync 的基于证书的身份验证,则只有符合下列条件的设备才能与 Exchange 2007 同步:

  • 设备安装了为进行用户身份验证而创建的有效的客户端证书。

  • 设备具有受信任的根证书,可用于要连接的服务器以建立 SSL 连接。

部署基于证书的身份验证可防止仅具有用户名和密码的用户与 Exchange 2007 同步。用于身份验证的客户端证书具有更高的安全级别,仅当设备通过 Microsoft Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Microsoft Windows Vista 中的 Windows Mobile 设备中心连接到域计算机时,才安装用于身份验证的客户端证书。

基于标记的身份验证系统

基于标记的身份验证系统是一个双重身份验证系统。双重身份验证是基于用户所知的一条信息(如自己的密码)以及一个便于用户随身携带的外部设备(通常形式为信用卡或密钥卡)。每个设备都有唯一的序列号。除了硬件标记,一些供应商还提供可在移动设备上运行的基于软件的标记。

标记显示唯一的号码(通常包含六位数字),该号码每 60 秒更改一次。当标记颁发给用户时,它与服务器软件进行同步。若要进行身份验证,用户需要输入自己的用户名、密码和标记上当前显示的号码。某些基于标记的身份验证系统还要求用户输入 PIN。

基于标记的身份验证是一种强身份验证形式。其缺点在于必须安装身份验证服务器软件并在每个用户的计算机或移动设备上部署身份验证软件。此外,还存在用户丢失外部设备的风险。替代丢失的外部设备可能需要一笔不小的开支。但是,如果没有原用户的身份验证信息,该设备对于第三方毫无价值。

有多家公司发行基于标记的身份验证系统。其中一家是 RSA。他们以多种形式提供产品 SecurID,其中包括密钥卡和信用卡。一次性身份验证代码通过标记发送。每个身份验证代码的有效时间为 60 秒。大多数标记在设备上还有一个过期指示器,例如,随着代码的剩余有效时间越来越短,一系列的点也将慢慢消失。这有助于防止用户输入了正确的代码,该代码却在身份验证过程完成之前过期了。完成身份验证后,用户无需使用新的代码进行身份验证,除非他们选择了注销或者由于设备长期处于非活动状态导致超时而被迫注销。有关如何配置基于标记的身份验证系统的详细信息,请参阅针对该特定系统的文档。

详细信息

有关如何配置 Exchange ActiveSync 的身份验证的详细信息,请参阅以下主题: