 Получить последнее содержимое ISA Server на
веб-узле с рекомендациями для ISA Server. Отправить замечания или отзыв об этой странице. |
После проверки учетных данных Microsoft ISA Server 2006 делегирует проверку подлинности опубликованным серверам при помощи одного из нижеперечисленных методов:
Учетные данные не делегируются. Это новая функция в ISA Server 2006, и является значением по умолчанию для делегирования. Это сделано в целях предотвращения непреднамеренного делегирования открытым текстом учетных данных в организацию, где они могут быть найдены злоумышленником. Для включения делегирования необходимо изменить значение по умолчанию.
В случае если сервер требует делегирования, выводится соответствующее оповещение ISA Server.
Учетные данные пользователя передаются конечному серверу без какого-либо действия со стороны сервера ISA Server. Клиент и сервер назначения согласуют механизм проверки подлинности между собой. Этот метод обычно применяется в тех случаях, когда на сервере назначения реализована нестандартная форма проверки подлинности.
В рамках обычной проверки подлинности учетные данные открытым текстом пересылаются серверу, которому они требуются. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.
При делегировании по методу NTLM ISA Server делегирует учетные данные с помощью протокола проверки подлинности путем запроса/ответа NTLM. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.
Согласно методу делегирования "Согласование", ISA Server сначала пытается получить на контроллере домена билет Kerberos для клиента. Если получить его не удается, ISA Server делегирует учетные данные при помощи NTLM по схеме согласования. Если ISA Server получает билет Kerberos, для делегирования учетных данных применяется схема согласования посредством Kerberos. В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.
Примечание
Если клиент предоставил учетные данные SecurID, можно реализовать механизм делегирования SecurID. В таком случае ISA Server передает на опубликованный сервер специальный файл cookie SecurID. Обратите внимание, что сервер ISA Server и опубликованный сервер должны использовать одинаковые секрет домена и имя файла cookie.
В ISA Server 2006 применяется ограниченное делегирование Kerberos — механизм, описанный в статье о переходе и ограниченном делегировании в протоколе Kerberos на веб-узле Microsoft TechNet(http://www.microsoft.com/). В отсутствие ограниченного делегирования Kerberos ISA Server может делегировать учетные данные клиентов только в случае их получения путем обычной проверки подлинности или проверки подлинности на основе форм. В случае поддержки ограниченного делегирования Kerberos ISA Server принимает учетные данные других типов — например, сертификаты клиентов. Чтобы использовать ограниченное делегирование Kerberos (ограниченное конкретным именем службы-участника), ISA Server должен быть установлен и запущен на контроллере домена.
В случае неудачной проверки подлинности ISA Server оповещает об этом клиента. Если серверу требуются учетные данные иного типа, ISA Server выводит соответствующее оповещение.
Примечания
Различным типам учетных данных клиентов соответствуют определенные методы делегирования. Допустимые комбинации этих категорий приведены в следующей таблице.
| Получение учетных данных клиентов | Исполнитель проверки подлинности | Делегирование | Комментарии |
|---|---|---|---|
| Проверка подлинности на основе форм
Обычная |
Active Directory
RADIUS (LDAP) |
Без делегирования — разрешить сквозное делегирование
Без делегирования — не разрешать сквозное делегирование Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Единый вход предусмотрен при проверке подлинности на основе
форм, но не при обычной проверке подлинности.
Может потребоваться дополнительный сертификат клиента (проверка подлинности по двум признакам). |
| Дайджест
Встроенная |
Active Directory | Без делегирования — разрешить сквозное делегирование
Без делегирования — не разрешать сквозное делегирование Ограниченное делегирование Kerberos |
|
| HTML-форма с одноразовым паролем | SecurID
Одноразовый пароль RADIUS |
Без делегирования — разрешить сквозное делегирование
Без делегирования — не разрешать сквозное делегирование Ограниченное делегирование Kerberos |
Поддерживается единый вход. |
| HTML-форма со сбором дополнительных учетных данных | SecurID
Одноразовый пароль RADIUS |
Без делегирования — разрешить сквозное делегирование
Без делегирования — не разрешать сквозное делегирование Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Поддерживается единый вход. |
| Сертификат клиента | Active Directory | Без делегирования — разрешить сквозное делегирование
Без делегирования — не разрешать сквозное делегирование Ограниченное делегирование Kerberos |
Дополнительные сведения о проверке подлинности в ISA Server см. в разделе Принципы проверки подлинности в ISA Server 2006 на веб-узле технического центра Microsoft ISA Server(http://www.microsoft.com).
| Получить последнее содержимое ISA Server на
веб-узле с рекомендациями для ISA Server. Отправить замечания или отзыв об этой странице. |