适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-03-20
身份验证是客户端和服务器验证其身份以便传输数据的过程。在 Exchange 2007 中,使用身份验证来确定要与 Exchange 服务器进行通信的用户或客户端的身份或其表明的身份。可以使用身份验证来验证设备是否属于特定用户或特定用户是否正在尝试登录到 Office Outlook Web Access。
在安装 Microsoft Exchange Server 2007 和客户端访问服务器角色时,将为多项服务配置虚拟目录。其中包括 Outlook Web Access、可用性服务、统一消息和 Microsoft Exchange ActiveSync。默认情况下,将每个虚拟目录配置为使用某种身份验证方法。对于 Exchange ActiveSync,将虚拟目录配置为使用基本身份验证和安全套接字层 (SSL)。可以通过更改 Exchange ActiveSync 虚拟目录的身份验证方法来更改 Exchange ActiveSync 服务器的身份验证方法。
本主题概述 Exchange ActiveSync 服务器可用的身份验证方法。对于 Exchange ActiveSync,客户端是用于与 Exchange 2007 服务器进行同步的物理设备。
基本身份验证
基本身份验证是最简单的身份验证方法。使用基本身份验证时,服务器请求客户端提交用户名和密码。该用户名和密码通过 Internet 以明文形式发送到服务器。服务器验证提供的用户名和密码是否有效并为客户端授予访问权限。默认情况下,对 Exchange ActiveSync 启用这种身份验证。但是,除非您还要部署安全套接字层 (SSL),否则,建议您禁用基本身份验证。使用基于 SSL 上的基本身份验证时,用户名和密码仍以纯文本形式发送,但是将对信道进行加密。
基于证书的身份验证
基于证书的身份验证使用数字证书来验证身份。除了用户名和密码之外,基于证书的身份验证还提供另一种形式的凭据,用于证明尝试访问 Exchange 2007 服务器上存储的邮箱资源用户的身份。数字证书由两部分组成:设备上存储的私钥和服务器上安装的公钥。如果将 Exchange 2007 配置为要求对 Exchange ActiveSync 进行基于证书的身份验证,则只有满足以下条件的设备可以与 Exchange 2007 进行同步:
该设备安装了为用户身份验证创建的有效客户端证书。
该设备拥有为建立 SSL 连接而要连接到服务器的受信任根证书。
部署了基于证书的身份验证之后,只有用户名和密码的用户将无法与 Exchange 2007 进行同步。作为增加的安全层,仅当设备通过 Windows XP 中的 Desktop ActiveSync 4.5 或更高版本或者 Windows Vista 中的 Windows 移动设备中心连接到加入域的计算机时,才能安装客户端证书供身份验证之用。
基于令牌的身份验证系统
基于令牌的身份验证系统是一个双要素身份验证系统。双要素身份验证基于用户了解的一些信息(例如其密码)和外部设备(通常以用户可以随身携带的信用卡或钥匙链的形式)。每个设备有唯一的序列号。除了硬件令牌之外,某些供应商还提供可以在移动设备上运行的基于软件的令牌。
令牌的工作方式是显示唯一编号,长度通常为六位,该编号每隔 60 秒更改一次。令牌颁发给用户后,将与服务器软件进行同步。若要进行身份验证,用户需要输入其用户名、密码以及令牌上当前显示的编号。某些基于令牌的身份验证系统还要求用户输入 PIN。
基于令牌的身份验证是一种加强型身份验证。基于令牌的身份验证的缺点在于,必须在每个用户的计算机或移动设备上安装身份验证服务器软件并部署身份验证软件,而且还面临着用户可能会丢失外部设备的风险。由于需要更换丢失的外部设备,所以成本可能会很高。但是,如果没有原用户的身份验证信息,该设备对第三方没有任何用处。
有多家公司发布了基于令牌的身份验证系统。一家公司是 RSA。其产品 SecurID 采用多种形式,包括钥匙链和信用卡的形式。一次性身份验证代码通过令牌颁发。每个身份验证代码的有效期为 60 秒。大多数令牌在设备上还有个过期指示器,例如,随着代码剩余时间的缩短,一系列点逐渐消失。这样有助于避免用户输入了正确的代码,却在身份验证过程完成之前使其过期。身份验证完成之后,除非用户选择或者由于设备不活动时间超时而注销,否则,不必使用新代码进行身份验证。有关如何配置基于令牌的身份验证系统的详细信息,请参阅特定系统的文档。
详细信息
有关身份验证和 Exchange ActiveSync 安全性的详细信息,请参阅下列主题: