Можно выбрать вариант без проверки подлинности компонентом Forefront TMG. При этом становится невозможной настройка метода делегирования для правил, использующих данный веб-прослушиватель.

Для публикации любых веб-серверов в Forefront TMG можно использовать проверку подлинности на основе форм. В Forefront TMG доступны три типа проверки подлинности на основе форм:

• Форма для ввода пароля. В эту форму вводятся имя пользователя и пароль. Этот тип учетных данных необходим для проверки подлинности с помощью доменных служб Active Directory, LDAP и RADIUS.
  
  
• Форма для ввода секретного кода. В эту форму вводятся имя пользователя и секретный код. Этот тип учетных данных необходим для проверки одноразовых паролей методами SecurID и RADIUS.
  
  
• Форма для ввода секретного кода и пароля. В эту форму вводятся имя пользователя и секретный код, а также имя пользователя и пароль. Имя пользователя и секретный код используются для проверки подлинности на сервере Forefront TMG с помощью методов SecurID или одноразового пароля RADIUS. а имя пользователя и пароль применяются для делегирования.
  
  

Откат к обычной проверке подлинности

Формы для мобильных клиентов

Управление паролями при проверке подлинности на основе форм

При использовании проверки подлинности на основе форм Forefront TMG позволяет предупреждать пользователей об окончании сроков действия паролей (через настраиваемое число дней), что позволяет пользователям своевременно изменять пароли. Эти функции могут использоваться по отдельности или в сочетании. Например, можно предупреждать пользователей о том, что срок действия паролей истекает, но не позволять им менять пароли. Либо можно разрешить смену паролей, но не выводить предупреждение об истечении срока их действия.

Если пользователям разрешена смена паролей, она производится на форме входа. Если в Forefront TMG настроены предупреждения об окончании сроков действия паролей, выводится отдельная страница с предупреждением, на которой пользователи могут изменить свои пароли. Инструкции по настройке функции смены пароля см. в разделе Настройка функции смены пароля.

Примечание.

HTML-формы, используемые для проверки подлинности на основе форм, являются полностью настраиваемыми. Если компонент Forefront TMG настроен на требование проверки подлинности, а правило публикации при этом применяется к определенному набору пользователей или категории Все прошедшие проверку пользователи, либо если в веб-прослушивателе выбран параметр Требовать проверки подлинности всех пользователей, компонент Forefront TMG проверяет учетные данные перед пересылкой запроса. По умолчанию форма предоставляется компоненту Forefront TMG на языке, соответствующем языковым настройкам браузера клиента. Forefront TMG обеспечивает вывод форм на 26 языках. Forefront TMG можно настроить на вывод форм на определенном языке, независимо от настроек браузера. Обратите внимание на следующие проблемы безопасности. При настройке времени ожидания для проверки подлинности на основе форм рекомендуется, чтобы значение этого периода было меньше, чем установлено опубликованным сервером. Если на опубликованном сервере истекло время ожидания работу раньше, чем на компьютере Forefront TMG, пользователь может ошибочно предположить, что сеанс завершен. Злоумышленники могут использовать данный сеанс, поскольку он остается открытым до тех пор, пока пользователь не закроет его либо не истечет время ожидания на компьютере Forefront TMG, заданное в параметре формы. Прежде чем опубликовать веб-приложение с помощью Forefront TMG, следует убедиться, что оно защищено от атак "session riding" (также известных как "cross-site-posting", "cross-site-request-forgery" и "атака с приманкой"). Это особенно важно в случае публикации веб-серверов через Forefront TMG, поскольку для доступа к любым веб-сайтам через публикующий межсетевой экран Forefront TMG клиенты должны использовать одинаковый уровень доверия. В сценарии проверки подлинности на основе форм, если требуется сертификат клиента, а пользователь отказывается его предоставить, он может получить доступ к форме входа. Однако затем Forefront TMG запретит вход из-за отсутствия сертификата клиента. Настройка форм производится путем изменения файла Strings.txt. Если файл Strings.txt предоставляется для изменений третьей стороне, необходимо проверить, что к файлу не были добавлены нетекстовые данные, поскольку они могут послужить средством для проведения атак на сети.

Forefront TMG поддерживает следующие типы проверки подлинности HTTP:

• Обычная проверка подлинности. Клиент, направивший запрос, должен ввести учетные данные. Forefront TMG проверяет учетные данные и использует их при передаче запроса веб-серверу для проверки подлинности на нем в соответствии с заданным методом делегирования. Веб-сервер должен быть настроен на использование схемы проверки подлинности, которая соответствует методу делегирования, используемому Forefront TMG. Дополнительные сведения об обычной проверке подлинности см. в разделе Методы проверки подлинности.
  
  
• Дайджест-проверка подлинности и W-дайджест-проверка подлинности . При использовании дайджест-проверки подлинности и W-дайджест-проверки подлинности клиент выполняет запрос. Forefront TMG отклоняет запрос и запрашивает у клиента данные для проверки подлинности. Учетные данные пересылаются контроллеру домена на проверку. Дополнительные сведения см. в разделе Методы проверки подлинности.
  
  
• Встроенная проверка подлинности Windows (NTLM). Использует механизмы проверки подлинности NTLM, Kerberos и Negotiate. Для проверки подлинности используются текущая информация Windows на клиентском компьютере. Если проверку подлинности пройти не удается, веб-обозреватель выдает пользователю запрос до тех пор, пока не будут введены верные учетные данные или не будет закрыто диалоговое окно. Дополнительные сведения об этом методе проверке подлинности см. в разделе Методы проверки подлинности.
  
  

В случае использования сертификата клиента Forefront TMG проводит проверку подлинности клиента на основе предоставленного им сертификата. Это может быть сертификат на смарт-карте или сертификат, используемый мобильным устройством для подключения к Microsoft ActiveSync.

Делегирование учетных данных клиента настраивается в правиле публикации. При запуске мастера создания правила публикации настройка производится на странице Делегирование проверки подлинности. В свойствах правила публикации параметры проверки подлинности находятся на вкладке Делегирование проверки подлинности.

При выборе этого параметра Forefront TMG не делегирует учетные данные. Это делается во избежание непреднамеренного делегирования учетных данных в организацию, где они могут быть перехвачены. Этот параметр является параметром по умолчанию для некоторых мастеров публикации Forefront TMG, поэтому для делегирования учетных данных необходимо изменить настройки по умолчанию.

При выборе метода делегирования Без делегирования, но клиент может выполнять проверку подлинности напрямую Forefront TMG передает учетные данные пользователя серверу назначения, не выполняя никаких дополнительных действий на Forefront TMG. После этого клиент и сервер назначения обмениваются необходимой для проверки подлинности информацией.

При использовании обычного делегирования Forefront TMG передает учетные данные в незашифрованном виде запрашивающему серверу. Если проверка подлинности не пройдена, Forefront TMG просит пользователя пройти проверку подлинности, указанную в веб-прослушивателе. Если серверу требуются учетные данные иного типа, Forefront TMG создает оповещение.

В случае делегирования NTLM Forefront TMG делегирует учетные данные с помощью протокола проверки подлинности NTLM с запросом и подтверждением. Если проверка подлинности не пройдена, Forefront TMG вместо делегирования использует тип проверки подлинности, настроенный в веб-прослушивателе. Если серверу требуются учетные данные иного типа, Forefront TMG создает оповещение.

При выборе параметра Negotiate в качестве метода делегирования Forefront TMG сперва пытается получить у контроллера домена билет Kerberos для клиента. Если компоненту Forefront TMG не удается получить билет Kerberos, для делегирования учетных данных с помощью NTLM используется схема согласования. Если Forefront TMG удается получить билет Kerberos, схема согласования используется для делегирования учетных данных с помощью Kerberos. Если проверка подлинности не пройдена, Forefront TMG передает клиенту сообщение об ошибке сервера. Если серверу требуются учетные данные иного типа, Forefront TMG создает оповещение.

Для получения билета по умолчанию используется следующее имя участника-службы: http/внутреннее_имя_сайта. В случае использования фермы серверов имя участника-службы соответствует имени фермы. Имя участника-службы по умолчанию можно изменить с помощью диспетчера Forefront TMG на вкладке Делегирование проверки подлинности правила.

Примечание.
В Microsoft Exchange Server 2003 службы IIS используют учетную запись "Сетевая служба". Forefront TMG использует шаблон SPN HTTP\* и заменяет подстановочный знак (*) именем опубликованного веб-сайта.

Если клиент предоставляет учетные данные SecurID, можно использовать делегирование проверки подлинности SecurID. Forefront TMG передает на опубликованный сервер особый файл Cookie SecurID. Обратите внимание, что у Forefront TMG и опубликованного сервера должен совпадать секрет домена и имя файла Cookie.

Ограниченное делегирование Kerberos поддерживается, начиная с версии ISA Server 2006. Дополнительные сведения об ограниченном делегировании Kerberos см. в статье Преобразование протокола Kerberos и ограниченное делегирование (http://go.microsoft.com/fwlink/?LinkID=56785&clcid=0x409) (возможно, на английском языке).

При использовании других типов делегирования Forefront TMG может делегировать учетные данные только в том случае, если учетные данные клиента получены с помощью обычной проверки подлинности или проверки подлинности на основе форм. Благодаря ограниченному делегированию Kerberos Forefront TMG может принимать от клиентов другие типы учетных данных, например сертификаты клиентов. Для использования ограниченного делегирования Kerberos (ограниченного в отношении использования определенного имени участника-службы) Forefront TMG должен быть включен на контроллере домена.

Если проверка подлинности не пройдена, Forefront TMG передает клиенту сообщение об ошибке сервера. Если серверу требуются учетные данные иного типа, Forefront TMG создает оповещение.

Примечание.

Для использования ограниченного делегирования Kerberos необходимо настроить доменные службы Active Directory, чтобы Forefront TMG считался доверенным сервером делегирования. По умолчанию имя участника-службы для получения билета - http/internalsitename. В случае использования фермы серверов имя участника-службы соответствует имени фермы. Имя участника-службы по умолчанию можно изменить с помощью консоли управления Forefront TMG на вкладке Делегирование проверки подлинности правила. Для использования ограниченного делегирования Kerberos необходим режим работы домена Windows Server 2003 или более высокий режим. Проверка подлинности Kerberos выполняется с помощью UDP-пакетов. Они часто фрагментируются. Если Forefront TMG находится в домене и включено блокирование IP-фрагментов, проверка подлинности Kerberos будет завершаться с ошибкой. Например, если компьютер использует протокол Kerberos для проверки подлинности при выполнении входа пользователя в систему, вход выполнить не удастся. При использовании проверки подлинности Kerberos не рекомендуется включать блокирование пакетов, содержащих IP-фрагменты. SharePoint Portal Server 2003 по умолчанию отключает протокол Kerberos, поэтому при публикации SharePoint использование ограниченного делегирования Kerberos и NTLM/Kerberos (Negotiate) невозможно. Чтобы включить протокол Kerberos, следуйте инструкциям, приведенным в статье Как настроить виртуальный сервер Windows SharePoint Services на использование проверки подлинности Kerberos и как переключить проверку подлинности Kerberos обратно на NTLM (http://go.microsoft.com/fwlink/?LinkId=160327) (возможно, на английском языке). В Microsoft Exchange Server 2003 службы IIS используют учетную запись "Сетевая служба". Forefront TMG использует шаблон SPN HTTP\* и заменяет подстановочный символ (*) именем опубликованного веб-сайта.