Тип проверки подлинности, используемый для правил веб-публикации (включая правила, публикующие веб-узлы Microsoft SharePoint и доступ веб-клиента Microsoft Exchange), определяется настройками веб-прослушивателя, используемого данным правилом. Свойства веб-прослушивателя включают способ получения учетных данных клиента и способ их проверки. Делегирование учетных данных настраивается в каждом правиле, а не для веб-прослушивателя.
Подробные сведения по проверке подлинности приведены в разделе Принципы проверки подлинности в ISA Server 2006.
Выбор определенных параметров проверки подлинности может сделать недоступными другие параметры. Например:
Выбор проверки подлинности для веб-прослушивателя также влияет на доступность параметров делегирования проверки подлинности в правилах публикации.
Правило публикации с веб-прослушивателем, который использует особую форму проверки учетных данных, должно использовать набор учетных записей, соответствующий данной форме проверки. Например, правило публикации с веб-прослушивателем, который использует проверку учетных данных LDAP, должно также использовать набор учетных записей, который состоит из пользователей LDAP. Оно не может включать пользователей Active Directory.
Внимание!
При включении единого входа необходимо указать определенный домен единого входа. Ввод общего домена, такого как .co.uk, позволит веб-обозревателю отправлять файл cookie единого входа ISA Server на любой веб-узел этого домена, создавая угрозу безопасности.
В следующей таблице приведены правильные комбинации методов проверки подлинности и делегирования.
Получение учетных данных клиентов | Исполнитель проверки подлинности | Делегирование | Комментарии |
---|---|---|---|
Проверка подлинности на основе форм
Обычная |
Active Directory
RADIUS (LDAP) |
Без делегирования — разрешить сквозную проверку подлинности
Без делегирования — не разрешать сквозную проверку подлинности Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Единый вход предусмотрен при проверке подлинности на основе
форм, но не при обычной проверке подлинности.
Может потребоваться дополнительный сертификат клиента (проверка подлинности по двум признакам). |
Дайджест
Встроенная |
Active Directory | Без делегирования — разрешить сквозную проверку подлинности
Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos |
|
HTML-форма с одноразовым паролем | SecurID
Одноразовый пароль RADIUS |
Без делегирования — разрешить сквозную проверку подлинности
Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos |
Поддерживается единый вход. |
HTML-форма со сбором дополнительных учетных данных | SecurID
Одноразовый пароль RADIUS |
Без делегирования — разрешить сквозную проверку подлинности
Без делегирования — не разрешать сквозную проверку подлинности Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Поддерживается единый вход. |
Сертификат клиента | Active Directory | Без делегирования — разрешить сквозную проверку подлинности
Без делегирования — не разрешать сквозную проверку подлинности Ограниченное делегирование Kerberos |
|