В сценариях веб-публикации Шлюз Microsoft Forefront Threat Management может проверить учетные данные клиента и затем передать (делегировать) учетные данные опубликованному серверу для проверки подлинности. Доступны следующие параметры делегирования проверки подлинности.
- Без делегирования, клиент не может выполнять проверку
подлинности напрямую
- Без делегирования, но клиент может выполнять проверку
подлинности напрямую
- Обычная проверка подлинности
- Проверка подлинности NTLM
- Negotiate (Kerberos/NTLM)
- RSA SecurID
- Ограниченное делегирование Kerberos
Примечание. |
---|
Доступные методы делегирования зависят от типа создаваемого правила публикации и способа проверки подлинности, используемого веб-прослушивателем. |
Без делегирования, клиент не может выполнять проверку подлинности напрямую
Учетные данные не передаются опубликованному серверу. Если опубликованный сервер требует проверки подлинности, выдается оповещение Forefront TMG.
Без делегирования, но клиент может выполнять проверку подлинности напрямую
Forefront TMG передает учетные данные пользователя опубликованному серверу, не предпринимая дополнительных действий. Далее клиент и опубликованный сервер согласовывают способ проверки подлинности. Обычно данный параметр применяется, если опубликованный сервер требует проверки подлинности по особой форме.
Примечание. |
---|
Если в правиле веб-публикации выбран данный параметр, а веб-прослушиватель не настроен на проверку подлинности и не требует проверки подлинности всех пользователей, Forefront TMG блокирует все HTTP-запросы к опубликованному веб-узлу и возвращает ошибку 403 (Запрещено), даже если веб-узел не требует проверки подлинности. |
Обычная проверка подлинности
При использовании обычной проверки подлинности учетные данные передаются в текстовом формате опубликованному серверу, требующему проверки подлинности. Если проверку подлинности пройти не удается, Forefront TMG просит пользователя пройти проверку подлинности в соответствии с указанным в веб-прослушивателе способом. Если опубликованному серверу требуются учетные данные иного типа, выдается оповещение Forefront TMG.
Проверка подлинности NTLM
В случае делегирования NTLM Forefront TMG делегирует учетные данные с помощью протокола проверки подлинности NTLM с запросом и подтверждением. Если проверку подлинности пройти не удается, Forefront TMG передает пользователю сообщение об ошибке с веб-сервера. Если опубликованному серверу требуются учетные данные иного типа, выдается оповещение Forefront TMG.
Negotiate (Kerberos/NTLM)
При выборе параметра Negotiate в качестве метода делегирования Forefront TMG сперва пытается получить для клиента билет Kerberos от контроллера домена. Если Forefront TMG не удается получить билет Kerberos, схема согласования используется для делегирования учетных данных с помощью NTLM. Если Forefront TMG удается получить билет Kerberos, схема согласования используется для делегирования учетных данных с помощью Kerberos. Если проверку подлинности пройти не удается, Forefront TMG передает пользователю сообщение об ошибке с веб-сервера. Если опубликованному серверу требуются учетные данные иного типа, выдается оповещение Forefront TMG.
Примечание. |
---|
По умолчанию имя участника-службы для получения билета - http/internalsitename. В случае использования фермы серверов имя участника-службы соответствует имени фермы. Имя участника-службы по умолчанию можно изменить с помощью диспетчера Forefront TMG на вкладке Делегирование проверки подлинности правила. |
RSA SecurID
Если клиент предоставляет учетные данные SecurID, можно использовать делегирование SecurID. Forefront TMG передает специальный файл cookie SecurID опубликованному серверу. Обратите внимание, что секрет домена и имя файла cookie для сервера Forefront TMG и опубликованного сервера должны совпадать.
Ограниченное делегирование Kerberos
При использовании других типов делегирования Forefront TMG может делегировать учетные данные, только если получение учетных данных клиента происходит с помощью обычной проверки подлинности или проверки подлинности на основе форм. При использовании ограниченного делегирования Kerberos Forefront TMG может принимать учетные данные клиента других типов, например клиентские сертификаты. Для использования ограниченного делегирования Kerberos (ограниченного к использованию определенного имени участника-службы) Forefront TMG должен быть включен на контроллере домена.
Если проверку подлинности пройти не удается, Forefront TMG передает пользователю сообщение об ошибке с веб-сервера. Если опубликованному серверу требуются учетные данные иного типа, выдается оповещение Forefront TMG.
Примечание. |
---|
Использование ограниченного делегирования Kerberos требует
настройки Active Directory на определение сервера Forefront TMG в
качестве доверенного для делегирования. По умолчанию имя участника-службы для получения билета - http/internalsitename. В случае использования фермы серверов имя участника-службы соответствует имени фермы. Имя участника-службы по умолчанию можно изменить с помощью диспетчера Forefront TMG на вкладке Делегирование проверки подлинности правила. |
Допустимые сочетания учетных данных клиента и методов делегирования
Для различных типов учетных данных клиента могут использоваться определенные методы делегирования. В следующей таблице приведены допустимые сочетания.
Получение учетных данных клиента | Служба проверки подлинности | Делегирование | Комментарий |
---|---|---|---|
Проверка подлинности на основе форм Обычная |
Active Directory LDAP (Active Directory) RADIUS |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Функция единого входа поддерживается для проверки подлинности на основе форм, но не поддерживается для обычной проверки подлинности. Может потребоваться дополнительный сертификат клиента (двухфакторная проверка подлинности). |
Дайджест Встроенная |
Active Directory |
Без делегирования, разрешено сквозное делегирование Без делегирования, сквозное делегирование не разрешено Ограниченное делегирование Kerberos |
Отсутствует |
HTML-форма с одноразовым паролем |
SecurID Одноразовый пароль RADIUS |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Ограниченное делегирование Kerberos |
Поддерживается функция единого входа. |
HTML-форма с набором дополнительных учетных данных |
SecurID Одноразовый пароль RADIUS |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Поддерживается функция единого входа. |
Сертификат клиента |
Active Directory |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Ограниченное делегирование Kerberos |
отсутствует |
Дополнительные сведения о проверке подлинности в Forefront TMG см. в разделе