Шлюз Microsoft Forefront Threat Management Политика веб-доступа может предоставлять анонимный доступ в Интернет или требовать прохождения внутренними пользователями проверки подлинности для веб-доступа.
Forefront TMG предоставляет два средства проверки подлинности пользователей, инициирующих исходящие запросы веб-прокси.
- Включение требования глобальной проверки подлинности в сети для
проверки подлинности каждого запроса веб-прокси.
- Создание правил доступа, требующих проверки подлинности.
Когда проверку подлинности необходимо провести одним из данных средств, учетные данные пользователя проверяются методом проверки подлинности веб-прокси, настроенным для сети, в которой получен запрос. Происходит следующее.
- Если проверка подлинности требуется в сети и проверяются
учетные данные, то правила оцениваются для обнаружения правила,
соответствующего запросу. Если учетные данные отклоняются или
отсутствуют, запрос отклоняется,и правила не оцениваются.
- Если проверка подлинности требуется для особого правила доступа
и проверяются учетные данные, то запрос разрешается или отклоняется
согласно этому правилу.
Требование проверки подлинности
веб-прокси для сети
Для указания обязательной проверки подлинности всех запросов веб-прокси из конкретной сети следует включить параметр Потребовать проверку подлинности всех пользователей в свойствах веб-прокси сети. Этот параметр доступен только для внутренних сетей и демилитаризованной зоны. Когда включен этот параметр, анонимный доступ запрещен. Учетные данные пользователей запрашиваются и проверяются до оценки правил доступа. Этот параметр имеет несколько особенностей.
- Клиентские компьютеры, настроенные в качестве клиентов
SecureNAT (со шлюзами по умолчанию, указывающими на Forefront TMG),
не могут представить учетные данные, и им будет отказано в доступе
при создании запроса веб-прокси.
- Выбор этого параметра может блокировать запросы веб-прокси к
таким узлам, как Центр обновления Майкрософт, которые не
поддерживают проверку подлинности пользователей.
- Инструкции о настройке этого параметра см. в разделе Настройка сети на
запросы веб-прокси.
Включение проверки подлинности для правил доступа
Более точный метод управления доступом заключается в требовании проверки подлинности пользователей для правил доступа, а не сети. Создаются правила доступа, которые разрешают или запрещают доступ отдельным пользователям. Например, можно задать применение правила ко всем пользователям, которые могут успешно пройти проверку подлинности, или к отдельным пользователям или группам.
Доступные методы проверки подлинности
Доступны следующие методы проверки подлинности исходящих запросов веб-прокси.
- Basic. Запросы, использующие способ проверки подлинности Basic,
могут проходить проверку подлинности сервера RADIUS или Active
Directory.
- Digest/WDigest. Запросы, использующие метод проверки
подлинности Digest или WDigest, могут проходить проверку
подлинности Active Directory.
- Integrated (NTLM). Запросы, применяющие способ проверки
подлинности Integrated, могут проходить проверку подлинности Active
Directory.
- Сертификат клиента. Этот метод проверки подлинности недоступен
внутренним клиентам, создающим веб-запросы. Он используется только
для маршрутизации веб-запросов через безопасное подключение к
вышестоящим прокси.
- Проверка подлинности сервера LDAP или сервера SecurID не
поддерживается для исходящих запросов веб-прокси.
Дополнительные сведения о каждом методе проверки подлинности см. в разделе Обзор проверки подлинности клиента.