(转帖)
默认情况下,OWA 2007的身份验证方式是采用基于表单的身份验证。但是有时候,我们可能会需要这种需求:已经用域账号登录计算机后,访问OWA不想再次输入用户名和密码,而是直接进入,类似单点登录。(之所以说类似,是因为从严格意义上来说这还不算SSO)这样对防止员工输入错误密码过多而导致账号锁定和提高工作效率,就非常有用了。
其实说得好像听复杂一样,实施起来却非常简单。
1.在安装了客户端访问服务器角色的Exchange服务器上打开EMC,定位到控制台树中的“服务器配置”-->在结果面板中选择你的客户端访问服务器-->在工作面板中选择“Outlook web access页签”-->然后选择“OWA (默认网站)”的属性。如图1
2.在弹出的“OWA (默认网站)属性”框中,选择“身份验证”,默认是基于表单的身份验证,我们在这个演示中需要“使用一个或多个标准身份验证方法”,并同时勾选“集成身份验证”和“基本身份验证(密码以明文形式发送)”,如图2,点击确定。
3.输入命令iisreset /noforce重启IIS,以便配置生效。如图3
4.回到客户端,打开IE的属性,定位到“安全”选项卡-->“本地Intranet”-->“站点”-->“高级”,然后把CAS服务器的IP或者域名添加进去。如图4.其中http://mail.test.org就是我访问CAS服务器的URL连接。因为我已经简化访问OWA的URL链接了,否则应该输入https://mail.test.org。
5.再次回到IE“安全”选项卡,点击“自定义级别”后,在“安全设置”中检查一下“用户验证”中的登录方式是否为“只在Intranet区域自动登录”或者“自动使用当前用户名和密码登录”,如果不是请选择两者之间的一个都行。如图5。默认情况下,此处设置为前者。
关于第4、5两个步骤,我给出的只是一个演示。并非完全得按我的操作进行,你大可以把OWA的URL地址添加到信任站点,然后对信任站点设置为自动使用当前用户名和密码登录。
6.验证。打开客户端的浏览器,输入OWA的URL地址后,会发现之前的表单登录就不在了,由于是第一次登录,所以第一个页面就是语言和区域设置,如图6.然后点击确定后就自动进入用户的邮箱了。如图7.以后直接输入URL后,就会自动进入OWA,不会要求输入用户名和密码,的确是省事不少。
说明:通过以上操作,我们能实现域用户登录计算机后访问OWA,能免去再次输入用户名和密码的工序。但是需要说明的是,在以下3种情况下,不会自动登录,也就是访问OWA的时候,会弹出一个框提示输入用户名和密码:
1.没有加入到域的用户
2.加入域但是没有登录到域的用户
3.在公司外面访问发布出去的OWA站点时
至于个中缘由,就不要我多言了吧,呵呵。其实我个人觉得,如果能让这3种情况下的用户在用当前用户名和密码进行身份验证失败后(必然失败),能退而求次使用基于表单的身份验证该多好啊。但是我知道这是不可能的,鱼和熊掌嘛。。
另外,以上操作步骤中的第4和5个步骤,完全可以利用AD组策略的功能统一配置,省去一个个配置的麻烦。以下演示,我把OWA站点添加到信任站点,并且配置为自动用当前用户和密码登录。文字描述我就免去了,请看图8操作,稍微说明一点,那个“2”就代表是添加到受信任的站点。
接下来,为受信任的站点配置自动登录选项,如图9.
接下来,为受信任的站点配置自动登录选项,如图9.
OK,演示就完成了,希望对大家能有些帮助。