Функции безопасности Outlook Web Access (часть 3)

Вторая часть цикла была полностью посвящена способам аутентификации, имеющимся в OWA 2007. Я хочу начать третью часть этого цикла с завершения рассмотрения темы аутентификации, где мы обсудим некоторые ключевые моменты способов аутентификации, которые нужно использовать. После этого мы рассмотрим функцию сегментации OWA.

Аутентификация OWA – какой способ использовать?

Вопрос об использовании аутентификации на основании форм или простой проверки подлинности в большей части зависит от требований вашей инфраструктуры. Например, ISA Server 2006 оснащен аутентификацией на основе форм, которую при необходимости можно включить. Если ваша внутренняя Exchange 2007 организация защищена ISA Server 2006, вы можете применить интегрированную Windows аутентификацию на сервере Client Access Server вместо использования аутентификации на основе форм, при использовании которой пользователям нужно будет заполнять две формы, одну для ISA Server и одну для Client Access Server. Если настроить аутентификацию на основе форм на сервере ISA Server и интегрированную Integrated Windows аутентификацию на сервере Client Access Server, пользователю нужно будет заполнять только одну форму. Когда пользователи вводят свои учетные данные в форму и аутентифицируются на сервере ISA Server, подключение к серверу Client Access Server, а значит и к OWA, создается автоматически посредством Integrated Windows аутентификации.

С учетом вышесказанного иногда нужно обращать внимание на различные интерфейсы взаимодействия пользователей с системой. Например, пользователи, подключаемые к OWA внешне, получат окно аутентификации на базе форм ISA Server, в то время как пользователи, подключаемые внутренне, будут автоматически регистрироваться посредством Integrated Windows аутентификации. Некоторые организации предпочитают исправлять эту проблему путем установки дополнительных внутренних серверов Client Access Servers, или даже дополнительных внутренних серверов ISA Servers, на которых настраивается аутентификация на базе форм для обеспечения одинакового способа взаимодействия с пользователями независимо от того, подключаются они внутренне или внешне.

Вам также необходимо принимать во внимание требования и прочие важные технологии сервера Client Access Server, такие как CAS-к-CAS прокси (CAS-to-CAS proxying). Возьмем примерный сценарий, где пользователь подключается через OWA к серверу Client Access Server, который расположен на другом сайте Active Directory сервера, содержащего почтовый ящик этого пользователя. В этом случае сервер Client Access Server, к которому подключается пользователь, способен обнаружить сервер Client Access Server, находящийся на том же сайте Active Directory, что и сервер почтового ящика пользователя, и может переправлять запрос пользователя на этот сервер Client Access Server. Этот прокси запрос известен под термином прокси CAS-to-CAS proxying. Однако чтобы этот процесс работал, сервер Client Access Server на том же сайте Active Directory, что и почтовый ящик пользователя, должен иметь настроенную Integrated Windows аутентификацию для виртуального каталога, к которому осуществляется доступ.

При рассмотрении выбора различных методов аутентификации одним из основных моментов рассмотрения является то, что кэшируемые учетные данные могут представлять риск безопасности для организации, если OWA используется из общедоступного места. Это представляет проблему в основном в том случае, если пользователь не может закрыть обозреватель после доступа к OWA; если обозреватель не может быть полностью закрыт, существует риск того, что другие пользователи смогут получить доступ к сеансу OWA, когда учетные данные записаны в кэш браузера.

Тщательно пересмотрите свои требования к проверке подлинности, прежде чем выбирать один из способов аутентификации, особенно когда используются такие продукты безопасности, как, например, ISA Server 2006.

Сегментация OWA

Сегментация OWA является еще одной функцией, которая имелась в предыдущих версиях Exchange, и поэтому не является новой функцией для Exchange 2007. По сути, сегментация OWA представляет собой функцию, которая позволяет вам блокировать доступ к определенным возможностям OWA для некоторых или всех пользователей. Например, предположим, что вы выполняете переход с Exchange 2003 среды на Exchange 2007 и в это же время решаете выполнить перемещение информации из своей публичной папки в Microsoft SharePoint. Если вы также установили Outlook 2007 клиент, нет необходимости в использовании публичной папки в вашей среде, и вы можете блокировать доступ к публичной папке из OWA. На рисунках 9 и 10 показаны различия между OWA клиентами с включенным доступом к публичной папке, и теми клиентами, в которых доступ к публичным папкам был заблокирован с помощью сегментации OWA. Как видно на рисунке 10, кнопка публичной папки вообще отсутствует.

Или, допустим, вы не установили Exchange ActiveSync устройства или роль сервера Unified Messaging в своей организации. И снова, будет неплохой мыслью отключить эти функции, чтобы эти опции не появлялись в Outlook Web Access. Любые настройки, облегчающие жизнь пользователям и сотрудникам службы поддержки, идут только на пользу.

Сегментацию OWA можно настроить для целого ряда функций и возможностей. В этот список входит ActiveSync интеграция, списки адресов, календарь, контакты, журнал, нежелательная почта, напоминания и уведомления, заметки, премиум клиенты, папки поиска, подписи электронной почты, проверка орфографии, задачи, выбор тем, интеграция унифицированного обмена сообщениями, смена паролей, правила, публичные папки, S/MIME и восстановление удаленных объектов.

Можно управлять сегментацией OWA для всего виртуального каталога на сервере Client Access Server или для каждого отдельного пользователя. Давайте сначала рассмотрим процесс управления для всего виртуального каталога с помощью консоли Exchange Management Console. Для начала работы по управлению сегментацией, вызываем свойства виртуального каталога /owa и переходим в закладку Сегментация (Segmentation). На рисунке 11 показано содержимое этой закладки.

Как показано на рисунке 11, очень просто понять, как включать и отключать определенные возможности для OWA сегментации; вам просто нужно выбрать соответствующую функцию и нажать кнопку включить (enable) или выключить (disable).

Примечание: сегментацию можно настроить только для виртуального каталога /owa, поэтому не следует искать закладки сегментации для других виртуальных каталогов, таких как /exchange, которые могут иметься у вас на сервере Client Access Server.

Чтобы воспользоваться оболочкой Exchange Management Shell для настройки параметров сегментации, нужно использовать команду Set-OwaVirtualDirectory. Например, если бы вы хотели получить свойства виртуального каталога /owa на сервере под названием CCR-SRV1, вам нужно было бы воспользоваться следующей командой:

Get-OwaVirtualDirectory 'CCR-SRV1\owa (Default Web Site)'

Эта команда отобразит множество параметров. На рисунке 12 показаны некоторые результаты выполнения этой команды, среди которых есть статус каждого значения сегментации. В верхней части рисунка 12 видно, что функция Задачи (Tasks) была отключена в OWA.

Как уже упоминалось в этом параграфе, можно также настраивать сегментацию OWA для каждого пользователя отдельно, для чего нужно воспользоваться командой Set-CASMailbox. Например, предположим, мы хотим отключить функцию Задачи для одного конкретного пользователя, псевдоним почтового ящика которого имеет значение neil. Для выполнения этой задачи нам нужно использовать следующую команду:

Set-CASMailbox 'Identity neil 'OWATasksEnabled:$false

Затем вам нужно воспользоваться командой Get-CASMailbox для проверки того, что нужные параметры были применены. Также обратите внимание, что параметры для отдельных пользователей имеют более высокий приоритет по сравнению с параметрами для всего виртуального каталога.

Заключение

На этом закончим вторую часть данного цикла статей о функциях безопасности OWA, имеющихся в Exchange 2007. В этой части цикла мы рассмотрели некоторые важные моменты, которые следует учитывать при выборе различных способов аутентификации, а затем поговорили о функции сегментации OWA. Функцию сегментации OWA зачастую не принимают во внимание при настройке Exchange 2007, однако следует помнить, что настройка этой функции поможет вам обеспечить конечных пользователей более удобным внешним видом и способом работы с Outlook по сравнению с OWA.