Exchange 2007 RPC через HTTPS, базовая аутентификация, запрос пароля обойден нажатием "нужен пароль"... желаемое поведение?

Question

Exchange 2007 RPC через HTTPS, базовая аутентификация, запрос пароля обойден нажатием "нужен пароль"... желаемое поведение?

Я не могу больше обрабатывать непрекращающийся запрос пароля

Наши установки Outlook запрашивают пароль после выхода из режима сна и / или при переключении между проводным и беспроводным режимами. Outlook не запрашивает пароль при первоначальном запуске. И, что забавно, когда он запрашивает учетные данные, пользователи могут просто закрыть поле учетных данных, а затем щелкнуть "нужен пароль" в правом нижнем углу Outlook и связь восстановлена. Насколько асинин это? Такое поведение убедило меня, что запрос учетных данных для RPC через HTTP НЕ ДОЛЖЕН БЫТЬ ПОВЕДЕНИЕМ ПО УМОЛЧАНИЮ. Обратите внимание, что это работает на всех устройствах, когда они подключены к локальной сети... и когда они НЕ сохраняют учетные данные в диспетчере учетных данных.

Я нашел много обсуждений, утверждающих, что если базовая аутентификация используется для прокси RPC/HTTPS, то запросы пароля неизбежны, но я не могу поверить, что MS допустит такое поведение, так как они теперь рекомендуют RPC/HTTPS и осуждают NTLM, и основаны на Поведение, описанное выше, ясно, что существует метод для передачи учетных данных, вошедших в систему, через базовую аутентификацию.

Другая причина, по которой я не верю, что это желаемое поведение, заключается в том, что MS выпустила KB для борьбы с этой проблемой (на 2007 год): https://support.microsoft.com/en-us/kb/956531

Вот еще один более старый КБ https://support.microsoft.com/en-us/kb/820281, (к сожалению, для 2003 года), в котором конкретно говорится, что для базовой аутентификации всегда будет требоваться пароль, но это должно быть false (для 2007/13 по крайней мере комбо) на основе поведения, описанного выше.

Вот ветка обмена экспертами, где я прокомментировал, но не получил ответа: http://www.experts-exchange.com/questions/27778514/Outlook-Disconnected-after-resume-from-sleep-mode.html

Может ли кто-нибудь помочь / прокомментировать это поведение, пожалуйста? Я убежден, что что-то где-то просто неправильно настроено..

У нас есть Exchange 2007 с клиентами Outlook 2013. Корпорация IT решила НЕ использовать NTLM после перехода с 2003-07, потому что Microsoft сообщила, что он небезопасен, и рекомендует НЕ использовать его больше.

Наши настройки автоматически обнаруживаются / настраиваются, поэтому любые изменения, которые я делаю для проверки, возвращаются. Я еще не пытался отключить автообнаружение.

Смотрите скриншоты ниже.

0

exchange-2007 http-basic-authentication ntlm rpc outlook-2013

Источник

goofology 04 янв '16 в 17:05

1 ответ

Другие вопросы по тегам exchange-2007 http-basic-authentication ntlm rpc outlook-2013

Sembee 04 янв '16 в 20:59 2016-01-04 20:59 · Answer 1 · 2016-01-04 20:59

Собираюсь быть тупым, но обоснование решений глубоко ошибочно. Было принято решение отключить некоторые функциональные возможности продукта, для которого он был разработан 10 ЛЕТ назад, из-за того, что в будущем снижен акцент. Это не имеет смысла. Если вы хотите быть более безопасным, перейдите на Exchange 2013 или 2016.

Хотя вы можете получить источник рекомендации, чтобы прекратить использовать проверку подлинности NTLM от Microsoft, потому что это первый раз, когда я услышал об этом. Вы не должны использовать его через Интернет без SSL, но это ожидаемо. Тем не менее, он обычно упакован в HTTPS, что устраняет множество проблем с ним.

Если вы используете обычную аутентификацию в Exchange 2007, вы всегда будете получать подсказки при использовании Outlook Anywhere. Конечно, внутренне вы не должны использовать Outlook Anywhere.

Если вы хотите, чтобы запросы аутентификации прекратились, переключитесь на аутентификацию NTLM. Конец истории. Это необходимо настроить на сервере, чтобы он передавался клиентам через автообнаружение.