Делегирование учетных данных

После проверки учетных данных Microsoft ISA Server 2006 делегирует проверку подлинности опубликованным серверам при помощи одного из нижеперечисленных методов:

Без делегирования — не разрешать сквозное делегирование

Учетные данные не делегируются. Это новая функция в ISA Server 2006, и является значением по умолчанию для делегирования. Это сделано в целях предотвращения непреднамеренного делегирования открытым текстом учетных данных в организацию, где они могут быть найдены злоумышленником. Для включения делегирования необходимо изменить значение по умолчанию.

В случае если сервер требует делегирования, выводится соответствующее оповещение ISA Server.

Без делегирования — разрешить сквозное делегирование

Учетные данные пользователя передаются конечному серверу без какого-либо действия со стороны сервера ISA Server. Клиент и сервер назначения согласуют механизм проверки подлинности между собой. Этот метод обычно применяется в тех случаях, когда на сервере назначения реализована нестандартная форма проверки подлинности.

Обычная

В рамках обычной проверки подлинности учетные данные открытым текстом пересылаются серверу, которому они требуются. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.

NTLM

При делегировании по методу NTLM ISA Server делегирует учетные данные с помощью протокола проверки подлинности путем запроса/ответа NTLM. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.

NTLM или Kerberos

Согласно методу делегирования "Согласование", ISA Server сначала пытается получить на контроллере домена билет Kerberos для клиента. Если получить его не удается, ISA Server делегирует учетные данные при помощи NTLM по схеме согласования. Если ISA Server получает билет Kerberos, для делегирования учетных данных применяется схема согласования посредством Kerberos. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.

Примечание

SecurID

Если клиент предоставил учетные данные SecurID, можно реализовать механизм делегирования SecurID. В таком случае ISA Server передает на опубликованный сервер специальный файл cookie SecurID. Обратите внимание, что сервер ISA Server и опубликованный сервер должны использовать одинаковые секрет домена и имя файла cookie.

Ограниченное делегирование Kerberos

В ISA Server 2006 применяется ограниченное делегирование Kerberos — механизм, описанный в статье о переходе и ограниченном делегировании в протоколе Kerberos на веб-узле Microsoft TechNet(http://www.microsoft.com/). В отсутствие ограниченного делегирования Kerberos ISA Server может делегировать учетные данные клиентов только в случае их получения путем обычной проверки подлинности или проверки подлинности на основе форм. В случае поддержки ограниченного делегирования Kerberos ISA Server принимает учетные данные других типов — например, сертификаты клиентов. Чтобы использовать ограниченное делегирование Kerberos (ограниченное конкретным именем службы-участника), ISA Server должен быть установлен и запущен на контроллере домена.

В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.

Примечания

Допустимые комбинации типов учетных данных клиентов и методов делегирования

Различным типам учетных данных клиентов соответствуют определенные методы делегирования. Допустимые комбинации этих категорий приведены в следующей таблице.

Получение учетных данных клиентов Исполнитель проверки подлинности Делегирование Комментарии
Проверка подлинности на основе форм

Обычная

Active Directory

RADIUS (LDAP)

Без делегирования — разрешить сквозное делегирование

Без делегирования — не разрешать сквозное делегирование

Обычная

NTLM

Согласование

Ограниченное делегирование Kerberos

Единый вход предусмотрен при проверке подлинности на основе форм, но не при обычной проверке подлинности.

Может потребоваться дополнительный сертификат клиента (проверка подлинности по двум признакам).

Дайджест

Встроенная

Active Directory Без делегирования — разрешить сквозное делегирование

Без делегирования — не разрешать сквозное делегирование

Ограниченное делегирование Kerberos

HTML-форма с одноразовым паролем SecurID

Одноразовый пароль RADIUS

Без делегирования — разрешить сквозное делегирование

Без делегирования — не разрешать сквозное делегирование

Ограниченное делегирование Kerberos

Поддерживается единый вход.
HTML-форма со сбором дополнительных учетных данных SecurID

Одноразовый пароль RADIUS

Без делегирования — разрешить сквозное делегирование

Без делегирования — не разрешать сквозное делегирование

Обычная

NTLM

Согласование

Ограниченное делегирование Kerberos

Поддерживается единый вход.
Сертификат клиента Active Directory Без делегирования — разрешить сквозное делегирование

Без делегирования — не разрешать сквозное делегирование

Ограниченное делегирование Kerberos

Дополнительные сведения о проверке подлинности в ISA Server см. в разделе Принципы проверки подлинности в ISA Server 2006 на веб-узле технического центра Microsoft ISA Server(http://www.microsoft.com).




веб-ссылка Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server.
Отправить замечания или отзыв об этой странице Отправить замечания или отзыв об этой странице.