Параметры проверки подлинности

Тип проверки подлинности, используемый для правил веб-публикации (включая правила, публикующие веб-узлы Microsoft SharePoint и доступ веб-клиента Microsoft Exchange), определяется настройками веб-прослушивателя, используемого данным правилом. Свойства веб-прослушивателя включают способ получения учетных данных клиента и способ их проверки. Делегирование учетных данных настраивается в каждом правиле, а не для веб-прослушивателя.

Подробные сведения по проверке подлинности приведены в разделе Принципы проверки подлинности в ISA Server 2006.

Выбор определенных параметров проверки подлинности может сделать недоступными другие параметры. Например:

Единый вход доступен, только если выбрана Проверка подлинности HTML-форм.
Одноразовый пароль RADIUS доступен, только если выбрана Проверка подлинности HTML-форм.
Проверка учетных данных в Active Directory через LDAP доступна, только если выбрана Проверка подлинности HTTP с Основной проверкой подлинности.

Выбор проверки подлинности для веб-прослушивателя также влияет на доступность параметров делегирования проверки подлинности в правилах публикации.

Правило публикации с веб-прослушивателем, который использует особую форму проверки учетных данных, должно использовать набор учетных записей, соответствующий данной форме проверки. Например, правило публикации с веб-прослушивателем, который использует проверку учетных данных LDAP, должно также использовать набор учетных записей, который состоит из пользователей LDAP. Оно не может включать пользователей Active Directory.

Внимание!

При включении единого входа необходимо указать определенный домен единого входа. Ввод общего домена, такого как .co.uk, позволит веб-обозревателю отправлять файл cookie единого входа ISA Server на любой веб-узел этого домена, создавая угрозу безопасности.

Допустимые комбинации типов учетных данных клиентов и методов делегирования

В следующей таблице приведены правильные комбинации методов проверки подлинности и делегирования.

Получение учетных данных клиентов	Исполнитель проверки подлинности	Делегирование	Комментарии
Проверка подлинности на основе форм Обычная	Active Directory RADIUS (LDAP)	Без делегирования — разрешить сквозную проверку подлинности Без делегирования — не разрешать сквозную проверку подлинности Обычная NTLM Согласование Ограниченное делегирование Kerberos	Единый вход предусмотрен при проверке подлинности на основе форм, но не при обычной проверке подлинности. Может потребоваться дополнительный сертификат клиента (проверка подлинности по двум признакам).
Дайджест Встроенная	Active Directory	Без делегирования — разрешить сквозную проверку подлинности Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos
HTML-форма с одноразовым паролем	SecurID Одноразовый пароль RADIUS	Без делегирования — разрешить сквозную проверку подлинности Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos	Поддерживается единый вход.
HTML-форма со сбором дополнительных учетных данных	SecurID Одноразовый пароль RADIUS	Без делегирования — разрешить сквозную проверку подлинности Без делегирования — не разрешать сквозную проверку подлинности Обычная NTLM Согласование Ограниченное делегирование Kerberos	Поддерживается единый вход.
Сертификат клиента	Active Directory	Без делегирования — разрешить сквозную проверку подлинности Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server.

Отправить замечания или отзыв об этой странице.

Перевести на английский