Обычная проверка подлинности - широко применяемый метод, который состоит в сборе таких сведений, как имя пользователя и пароль. При обычной проверке подлинности сведения о пользователе отправляют и получают в виде текстовых символов, которые можно прочитать. Хотя пароли и имена пользователей подлежат шифрованию, при обычной проверке подлинности шифрование не используется. Ниже описывается, как происходит проверка подлинности клиента при обычной проверке подлинности.

1. Пользователю предлагается ввести имя и пароль для входа в учетную запись Windows.
   
   
2. Forefront TMG получает HTTP-запрос с учетными данными пользователя и подтверждает их с помощью определенного сервера проверки подлинности (RADIUS или Active Directory, LDAP-сервер используется только для входящих запросов).
   
   
3. Для исходящих запросов веб-прокси Forefront TMG подтверждает учетные данные пользователя и затем определяет правила доступа. Для входящих запросов Forefront TMG использует учетные данные для проверки подлинности на опубликованном веб-сервере в соответствии с настроенным методом делегирования. Веб-сервер должен быть настроен на применение схемы проверки подлинности, которая соответствует методу делегирования, используемому Forefront TMG. Текстовый пароль кодируется с помощью Base64 до того, как будет переслан по сети, но это не шифрование, и если пароль будет перехвачен в сети анализатором сетевых пакетов, неавторизованные пользователи могут раскодировать и повторно использовать пароль.
   
   

Преимущество обычной проверки подлинности состоит в том, что она поддерживается практически всеми HTTP-клиентами. Недостатком является то, что при использовании обычной проверки подлинности веб-обозреватели передают пароли в незашифрованной форме. Наблюдая за действиями пользователя в сети, взломщик или пользователь-злоумышленник может перехватить и раскодировать пароли с помощью общедоступных средств. Поэтому не рекомендуется использовать обычную проверку подлинности, если пользователь не уверен, что связь защищена, например, при пользовании выделенной линией или соединением по SSL-протоколу.

Проверка подлинности Digest предлагает такие же возможности, как и обычная проверка подлинности, но отличается более защищенным способом передачи учетных данных.

Проверка подлинности Digest использует протокол HTTP 1.1, как определено в RFC 2617. Этот протокол поддерживается не всеми обозревателями. Если обозреватель, не поддерживающий протокол HTTP 1.1, запрашивает файл при включенной проверке подлинности Digest, запрос отклоняется. Проверка подлинности Digest может использоваться только в доменах Windows.

Проверка подлинности Digest успешно применима, если на контроллере домена в службе Active Directory хранится обратимая зашифрованная (текстовая) копия запроса пароля пользователя. Чтобы разрешить хранение паролей в незашифрованном текстовом виде, пользователю нужно активировать настройку Хранить пароль с использованием обратимого шифрования на вкладке Учетная запись Также пользователь может включить данную функцию, установив соответствующую групповую политику. После этого пользователю нужно установить новый пароль, чтобы активировать данную функцию, поскольку прежний пароль не может быть определен.

WDigest, обновленная форма проверки подлинности Digest, используется, если Forefront TMG установлен в домене Windows Server 2008. Проверка подлинности WDigest не требует, чтобы в службе Active Directory хранилась обратимая зашифрованная копия пароля пользователя.

Проверка подлинности Digest и WDigest осуществляется следующим образом:

1. Клиент делает запрос.
   
   
2. Forefront TMG отказывает в доступе и предлагает клиенту ввести имя пользователя и пароль для входа в учетную запись Windows. Примечание. При использовании WDigest имя пользователя и имя домена чувствительны к регистру и должны указываться точно так же, как они отображены в службе Active Directory. Кроме этого для WDigest требуется ввести значение для пути доступа к URL. Например, запрос пользователя http://host.domain.tld не обрабатывается, поскольку отсутствует путь доступа к URL.
   
   
3. Учетные данные пользователя проходят одностороннюю процедуру, наименование которой известно как хэширование На выходе получается зашифрованный хэш или профиль сообщения. В него добавляются значения для идентификации пользователя, компьютера пользователя и домена. Чтобы исключить применение пользователем аннулированного пароля, добавляется отметка времени. Это явное преимущество перед обычной проверкой подлинности, поскольку снижается вероятность перехвата и использования пароля неавторизованным пользователем.
   
   

Встроенная проверка подлинности Windows использует методы проверки подлинности NTLM, Kerberos и Negotiate. Это более безопасные формы проверки подлинности, поскольку имя пользователя и пароль хэшируются до отправления их по сети. Если включена проверка подлинности NTLM, Kerberos или Negotiate, обозреватель пользователя подтверждает пароль при помощи обмена криптографическими данными с сервером Forefront TMG и хэширования.

Ниже описывается, как происходит проверка подлинности клиента при встроенной проверке подлинности Windows.

1. В зависимости от настроек обозревателя проверка подлинности может не запрашивать изначально имя пользователя и пароль. Если изначально не удается идентифицировать пользователя, обозреватель запрашивает имя пользователя и пароль для входа в учетную запись Windows, которые он обрабатывает с помощью встроенной проверки подлинности Windows. Веб-обозреватель продолжает запрашивать имя пользователя и пароль до тех пор, пока пользователь не введет достоверные сведения или не закроет диалоговое окно с запросом. Имя пользователя необходимо вводить в формате: домен\имя_пользователя
   
   
2. Если изначально не удается идентифицировать пользователя, обозреватель запрашивает имя пользователя и пароль для входа в учетную запись Windows, которые он обрабатывает с помощью встроенной проверки подлинности Windows.
   
   
3. Forefront TMG продолжает запрашивать имя пользователя и пароль до тех пор, пока пользователь не введет достоверные сведения или не закроет диалоговое окно с запросом.
   
   

Примечание.

• Forefront TMG обращается к серверу Active Directory каждый раз, когда требуется проверка подлинности NTLM. Поэтому пользователю рекомендуется создать защищенную сеть для Active Directory и Forefront TMG, чтобы исключить возможность доступа к обмену данными со стороны пользователей (внешних и внутренних).
  
  
• Поскольку проверка подлинности для внешних пользователей применяет метод NTLM, пользователям рекомендуется использовать SSL-шифрование трафика между Forefront TMG и клиентом. Проверка подлинности NTLM осуществляется для каждого соединения, а шифрование предупреждает повторное использование соединений унаследованными устройствами прокси в Интернете.