Информатика и выч. техника \ Электронный документооборот

Среда MicrosoftExchangeServer, страница 3

  4)  Встроенная проверка пользователя средствами Windows. Эта процедура (старое название – проверка NTLM Challenge/Response) выполняется следующим образом. Сначала браузер посылает учетные данные пользователя для входа в систему. Если эти учетные данные отвергаются, у пользователя запрашиваются его имя и пароль. Такой метод более безопасен, чем обычная проверка подлинности, но его нельзя применять, если пользовательским учетным данным предстоит проходить через брандмауэр. Интегрированная проверка пользователя средствами Windows использует протокол Kerberos V5, который принимается по умолчанию в качестве метода сетевой проверки на компьютерах с операционной системой MS Windows 2000. Процедура идентификации пользователя по протоколу Kerberos V5 предполагает обращение к центру распространения ключей KDC (Key Distribution Center), обслуживающему домен (обычно его роль играет контроллер домена). Поскольку пользователь должен обращаться в KDC напрямую, протокол Kerberos V5 больше подходит для интрасетей, чем для Интернета. Исключением может служить только случай использования протокола PPTP (Point-to-Point Tunneling Protocol) для подключения к виртуальной частной сети VPN (Virtual Private Network).

  5)  При использовании протокола HTTP IIS позволяет выполнять проверку пользователя в режиме выборки. Этот метод аналогичен обычной проверке за исключением того, что пароли перед отправкой шифруются.

Средства безопасности каталога регулируют права отдельных пользователей на каталог. Если система безопасности настроена правильно, то пользователям будет доступна только относящаяся к ним информация.

Для определения уровня доступа пользователей к сетевым ресурсам служба Active Directory использует следующие механизмы.

  1)  Таблицы управления доступом ACL (Access Control Lists) – листы доступа с указанием списка пользователей, имеющих доступ к объектам службы Active Directory.

  2)  Записи управления доступом ACE (Access Control Entries) – определяющие права записи (например, «Чтение», «Запись», «Выполнение» и т.д.).

  3)  Политики безопасности – объекты, задающие диапазон действия служб безопасности системы. Используя групповые политики, администраторы могут централизованно применять необходимые профили безопасности к различным представленным в каталоге организациям.

3.2.3 Клиенты Exchange Server

Для доступа к службам MES могут использоваться следующие клиентское программное обеспечение (клиенты).

  1.  Приложение MS Outlook Express, настраиваемое на доступ по почтовым протоколам POP3 или IMAP4 к серверам MES. Однако следует помнить, что для этих протоколов MS Outlook Express использует обычную проверку подлинности. Чтобы установить более безопасное подключение, можно настроить MS Outlook Express на использование в виртуальной частной сети (VPN). При работе в VPN MS Outlook Express позволяет применять алгоритм SPA (Secure Password Authentication) для защищённой идентификации пользователя.

  2.  Приложение MS Outlook Web Access, настраиваемое на доступ по протоколам HTTP или HTTPS. По умолчанию MS Outlook Web Access использует обычную проверку пользователя. Если требуется более безопасное подключение, можно задать проверку пользователя по протоколу SSL.

  3.  Приложение MS Outlook 2000, настраиваемое либо в режиме клиента Интернета, либо в режиме клиента MAPI.

Если приложение MS Outlook 2000 настроено на работу в режиме клиент Интернета, то используются протоколы POP3 или IMAP4 и обычная проверка пользователя. Если используется режим клиента MAPI, то предполагается работа в VPN и использование протокола удаленного вызова процедур (RPC). Поскольку в сетях VPN используется выделенное подключение, проходящее через брандмауэр, возможно применение встроенной проверки пользователя средствами Windows.

В таблице 1 перечислены клиенты и используемые протоколы, с указанием преимуществ и недостатков каждого клиента.

Таблица 1. Клиенты MES.

Скачать файл