В этом разделе представлен обзор серверов проверки подлинности, которые могут использоваться для проверки учетных данных клиента в Шлюз Microsoft Forefront Threat Management.
Служба Windows Active Directory
При проверке подлинности Windows Active Directory учетные данные, вводимые пользователем, передаются на контроллер домена, который сверяет их со списком пользователей Active Directory. При вводе учетных данных клиент должен использовать один из форматов, поддерживаемых контроллером домена.
- Имя учетной записи Security Accounts Manager (SAM)
(домен\имя_пользователя)
- Основное имя пользователя
(имя_пользователя@домен.com)
- Различающееся имя
Проверка подлинности Active Directory возможна, если только Forefront TMG является членом домена (относится либо к тому же домену, что и контроллер домена, либо к доверенному домену).
Active Directory может использоваться для проверки учетных данных клиента в отношении исходящих веб-запросов на опубликованные веб-серверы.
LDAP-сервер
Этот метод проверки учетных данных схож с методом проверки Windows Active Directory. При данном методе Forefront TMG соединяется с LDAP-сервером по протоколу LDAP. (поддерживаются LDAP, LDAPS, LDAP-GC и LDAPS-GC). Примечание. Каждый контроллер домена является LDAP-сервером. LDAP-сервер хранит учетные данные пользователей службы Active Directory. Поскольку каждый контроллер домена может выполнять проверку подлинности только в своем домене, Forefront TMG по умолчанию запрашивает лес из глобального каталога для проверки учетных данных пользователя.
Клиент должен использовать один из форматов, поддерживаемых Active Directory.
- Имя учетной записи SAM (домен\имя_пользователя)
- Основное имя пользователя
(имя_пользователя@домен.com)
- Различающееся имя
LDAP используется для проверки учетных данных клиента только в отношении входящих запросов на опубликованные веб-серверы.
RADIUS
RADIUS является стандартным промышленным протоколом проверки подлинности, используемым Шлюз Microsoft Forefront Threat Management для проверки подлинности запросов клиента. Когда Forefront TMG выступает в качестве клиента RADIUS, учетные данные пользователя направляются на RADIUS-сервер. RADIUS-сервер проверяет подлинность запроса клиента RADIUS, а затем отправляет ответное сообщение RADIUS. В консоли Forefront TMG пользователь может настроить не только RADIUS-серверы для проверки подлинности, но и общий секрет. Пользователь устанавливает тот же секрет на RADIUS-сервере.
Проверка подлинности RADIUS может применяться для исходящих запросов веб-прокси и входящих запросов на опубликованные веб-серверы.
Одноразовый пароль RADIUS
Forefront TMG может использовать одноразовый пароль RADIUS, чтобы проверить учетные данные для входящих запросов на опубликованные веб-серверы. Механизмы одноразовых паролей обычно состоят из переносных устройств (физических маркеров) и сервера. Сервер и устройства создают новый код доступа с заданной частотой. Коды доступа отличаются для каждого устройства. (Два разных устройства не могут иметь один и тот же код доступа.) Сервер, который проверяет коды доступа, устанавливается на RADIUS-сервере и может быть связан с существующим списком пользователей RADIUS. Обратите внимание на следующую информацию о кодах доступа.
- Каждый код доступа может быть использован только один раз.
- В форме Forefront TMG пользователь вводит имя пользователя и
код доступа, предоставленный переносным устройством. Forefront TMG
отправляет имя пользователя и код доступа на RADIUS-сервер для
проверки подлинности.
- Поскольку код доступа не может быть использован вторично,
Forefront TMG не перепроверяет учетные данные для каждого запроса.
Вместо этого Forefront TMG создает файл cookie, позволяющий
установить длительное соединение без повторной проверки
подлинности.
- Некоторые RADIUS-серверы делают невозможным вход в систему для
пользователей, которым не удалось войти определенное количество
раз. Если злоумышленник пытается неоднократно осуществить вход с
использованием допустимого имени пользователя и неправильные коды
доступа, пользователь блокируется до тех пор, пока вы не
восстановите его доступ к системе. Рекомендуется отключить функцию
блокировки на сервере одноразовых паролей RADIUS, чтобы исключить
возможность возникновения подобных ситуаций Параметр
HTTP-запросов за минуту, на IP-адрес Forefront TMG (который
можно настроить на вкладке Предотвращение Flood-атаки в
свойствах Forefront TMG) отражает агрессивные попытки угадать
пароли, поэтому можно безопасно отключить функцию блокировки
(lockout).
RSA SecurID
RSA SecurID основывается на технологии компании RSA Security Inc. Forefront TMG может использовать SecurID для проверки подлинности учетных данных в отношении входящих запросов на опубликованные веб-ресурсы. Для SecurID необходимо, чтобы удаленный пользователь представил следующую информацию для доступа к защищенным ресурсам.
- Личный идентификационный номер (PIN)
- Физический маркер, который генерирует одноразовый, ограниченный
по времени действия пароль
Ни персональный идентификационный номер (ПИН), ни генерированный маркером одноразовый пароль не обеспечивают доступ отдельно друг от друга. Необходимо использовать их вместе.
Когда пользователь пытается получить доступ к веб-страницам, управляемым по правилу посредством проверки подлинности SecurID, сервер Forefront TMG проверяет наличие файла cookie от имени сервера, запускающего службы IIS, защищенные Forefront TMG. Этот файл cookie не постоянный и окажется в наличии только в том случае, если проверка подлинности пользователя осуществлялась недавно. Если файл cookie пользователя отсутствует, пользователю предлагается ввести имя пользователя и код доступа для SecurID. Код доступа состоит из сочетания ПИН и сгенерированного маркером кода. RSA ACE/Agent на сервере Forefront TMG передает эти данные для проверки на компьютер RSA ACE/Server. Если RSA ACE/Server подтверждает подлинность учетных данных, файл cookie направляется на обозреватель пользователя для последующих действий в течение сессии, а пользователь получает доступ к содержимому. Обратите внимание на следующую информацию.
- При делегировании SecurID Forefront TMG создает файлы cookie,
совместимые с агентом RSA Authentication Agent 5.0. Если
пользователь применяет делегирование SecurID, необходимо настроить
компьютер, проверяющий подлинность агента, чтобы он доверял файлам
cookie. Для этого в реестре компьютера для проверки подлинности
агента добавьте следующее значение строковой переменной:
Agent50CompatibleCookies на узле
HKLM\Software\SDTI\RSAAgent
- Если для настройки Forefront TMG использовалось несколько
сетевых плат, а пользователь создает веб-прослушиватель при
активированной проверке подлинности RSA SecurID, необходимо
подробно указать адрес сетевой платы, по которому Forefront TMG
будет связываться с сервером RSA ACE/Server с целью проверки
подлинности. В противном случае Forefront TMG не сможет осуществить
проверку подлинности SecurID. Укажите IP-адрес в следующем разделе
реестра как значение строковой переменной:
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP
- Рекомендуется использовать SSL-протокол для шифрования
взаимодействия между клиентом и Forefront TMG.
- Дополнительную информацию об установке RSA ACE/Server, о
настройке и принципах проверки подлинности см. в документации,
доступной на веб-узле RSA (http://www.rsasecurity.com).