Konfigurieren von Standardauthentifizierungsverfahren für Outlook Web Access

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2006-09-05

In diesem Thema werden Standardauthentifizierungsverfahren beschrieben, die bei der Absicherung der Computer helfen, auf denen Microsoft Exchange Server 2007 ausgeführt wird und auf denen die Serverfunktion ClientAccess für Microsoft Office Outlook Web Access installiert ist.

In Exchange 2007 unterstützen Clientzugriffsserver die integrierte Windows-Authentifizierung sowie die HTTP 1.1-Digestauthentifizierung für virtuelle Exchange 2007-Verzeichnisse. Virtuelle Exchange 2000- und Exchange 2003-Verzeichnisse auf einem Server, auf dem nur die Serverfunktion ClientAccess ausgeführt wird, unterstützen nur die Standardauthentifizierung sowie die formularbasierte Authentifizierung.

Hinweis

Exchange Server 2003-Back-End-Server unterstützen formularbasierte, Standard-, integrierte Windows- und Digestauthentifizierung. Exchange Server 2003-Front-End-Server unterstützen keine integrierte Windows- oder Digestauthentifizierung.

Standardauthentifizierungsverfahren

In diesem Abschnitt werden Standardauthentifizierungsverfahren beschrieben. Hierzu gehören die Standardauthentifizierung, die Digestauthentifizierung und die integrierte Windows-Authentifizierung.

Hinweis

Standardmäßig wird die formularbasierte Authentifizierung von Exchange 2007 aktiviert.

Standardauthentifizierung

Die Standardauthentifizierung ist ein einfacher, durch die HTTP-Spezifikation definierter Authentifizierungsmechanismus, der den Anmeldenamen und das Kennwort eines Benutzers codiert, bevor die Anmeldeinformationen des Benutzers an den Server gesendet werden.

Die Standardauthentifizierung unterstützt keine einmaligen Anmeldungen. Die Microsoft Windows Server 2003-Authentifizierung ermöglicht einmalige Anmeldungen bei allen Netzwerkressourcen. Bei einer einmaligen Anmeldung kann sich ein Benutzer bei der Domäne mit einem einzigen Kennwort oder einer Smartcard ein einziges Mal anmelden und sich dann bei jedem Computer in der Domäne authentifizieren.

Die Standardauthentifizierung wird von allen Webbrowsern unterstützt, ist aber nur sicher, wenn SSL-Verschlüsselung (Secure Sockets Layer) angefordert wird.

Digestauthentifizierung

Die Digestauthentifizierung überträgt zur Erhöhung der Sicherheit Kennwörter als Hashwert über das Netzwerk. Die Digestauthentifizierung kann nur in Windows Server 2003- und Windows 2000 Server-Domänen für Benutzer verwendet werden, die über ein Konto verfügen, das im Active Directory-Verzeichnisdienst gespeichert ist. Weitere Informationen über die Digestauthentifizierung finden Sie in der Dokumentation von Windows Server 2003 und IIS-Manager (Internetinformationsdienste).

Die Digestauthentifizierung ist nur für virtuelle Exchange 2007-Verzeichnisse verfügbar.

Wichtig

Wenn Sie die Digest- oder Standardauthentifizierung verwenden, wenn ein Benutzer einen Kiosk verwendet, kann das Zwischenspeichern von Anmeldeinformationen ein Sicherheitsrisiko darstellen, wenn der Benutzer den Browser zwischen Sitzungen nicht schließen und den Browserprozess nicht beenden kann. Dieses Risiko tritt auf, weil die Anmeldeinformationen eines Benutzers im Cache verbleiben, wenn der nächste Benutzer auf den Kiosk zugreift. Um Outlook Web Access in einem Kiosk zu aktivieren, müssen Sie sicherstellen, dass der Benutzer den Browser zwischen Sitzungen schließen und die Browserprozesse beenden kann. Andernfalls müssen Sie den Einsatz eines Drittanbieterprodukts mit zweistufiger Authentifizierung in Betracht ziehen, bei der der Benutzer ein physikalisches Token zusammen mit einem Kennwort vorweisen muss, um Outlook Web Access im Kiosk verwenden zu können.

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung erfordert für den Zugriff auf Informationen, dass Benutzer über einen gültigen Windows 2000 Server- oder Windows Server 2003-Benutzerkontonamen und ein zugehöriges Kennwort verfügen. Am lokalen Netzwerk angemeldete Benutzer werden nicht zur Eingabe von Benutzernamen und Kennwörtern aufgefordert, sondern der Server kommuniziert mit den Windows-Sicherheitspaketen, die auf dem Clientcomputer installiert sind. Diese Methode ermöglicht dem Server die Authentifizierung von Benutzern, ohne von diesen Anmeldeinformationen zu fordern. Die Anmeldeinformationen sing geschützt, aber die gesamte restliche Kommunikation wird unverschlüsselt gesendet, wenn nicht SSL verwendet wird.

Microsoft Internet Explorer ermöglicht einmalige Anmeldungen für Webanwendungen, zu denen unter anderem Outlook Web Access-Webparts gehört, wenn auf dem Server, auf den zugegriffen wird, die integrierte Windows-Authentifizierung aktiviert ist. Benutzer müssen ihre Anmeldeinformationen nur einmal pro Browsersitzung eingeben. Die Anmeldeinformationen werden aber im Browserprozess zwischengespeichert.

Auf einem Server mit Exchange 2007, auf dem lediglich die Serverfunktion ClientAccess installiert ist, kann die integrierte Windows-Authentifizierung nur für virtuelle Exchange 2007-Verzeichnisse verwendet werden. Auf einem Server, auf dem die Serverfunktionen ClientAccess und Mailbox installiert sind, kann die integrierte Windows-Authentifizierung für alle virtuellen Exchange 2007-Verzeichnisse verwendet werden. Weitere Informationen zur integrierten Windows-Authentifizierung finden Sie in der Windows Server 2003-Dokumentation.

Hinweis

Die integrierte Windows-Authentifizierung wird nur auf Computern unterstützt, auf denen ein Betriebssystem der Windows-Produktfamilie zusammen mit Internet Explorer ausgeführt wird. Die integrierte Windows-Authentifizierung kann mit anderen Webbrowsern funktionieren, wenn diese so konfiguriert wurden, dass sie die Anmeldeinformationen des Benutzers an den Server weitergeben, von dem die Authentifizierung angefordert wird.

Weitere Informationen