В этом разделе представлен обзор методов проверки подлинности, используемых Forefront TMG. включая следующие:
- Проверка
подлинности HTTP
- Проверка подлинности на основе
форм
- Проверка подлинности
сертификата клиента
Сведения о сценариях, в которых используются эти методы, см. в разделе Общие сведения о проверке подлинности в Forefront TMG.
Проверка подлинности HTTP
Forefront TMG поддерживает следующие типы проверки подлинности HTTP:
- Обычная
проверка подлинности
- Проверка подлинности Digest
и WDigest
- встроенная проверка
подлинности Windows
Обычная проверка подлинности
Обычная проверка подлинности – широко применяемый метод, который состоит в сборе таких сведений, как имя пользователя и пароль. При обычной проверке подлинности сведения о пользователе отправляют и получают в виде текстовых символов, которые можно прочитать. Хотя пароли и имена пользователей подлежат шифрованию, при обычной проверке подлинности шифрование не используется.
Ниже описывается, как происходит проверка подлинности клиента при обычной проверке подлинности.
- Пользователю предлагается ввести имя и пароль для входа в
учетную запись Windows.
- Forefront TMG получает HTTP-запрос с учетными данными
пользователя и подтверждает их с помощью определенного сервера
проверки подлинности (RADIUS или доменные службы Active Directory,
LDAP-сервер используется только для входящих запросов).
- Для исходящих запросов веб-прокси Forefront TMG подтверждает
учетные данные пользователя и затем определяет правила доступа. Для
входящих запросов Forefront TMG использует учетные данные для
проверки подлинности на опубликованном веб-сервере в соответствии с
настроенным методом делегирования. Веб-сервер должен быть настроен
на использование схемы проверки подлинности, которая соответствует
методу делегирования, используемому Forefront TMG. Текстовый пароль
кодируется с помощью Base64 до отправки по сети, однако это не
шифрование, и если пароль будет перехвачен в сети анализатором
сетевых пакетов, неавторизованные пользователи могут раскодировать
и повторно использовать пароль.
Преимущество обычной проверки подлинности состоит в том, что она поддерживается практически всеми HTTP-клиентами. Недостатком является то, что при использовании обычной проверки подлинности веб-обозреватели передают пароли в незашифрованной форме. Наблюдая за действиями пользователя в сети, взломщик или пользователь-злоумышленник может перехватить и раскодировать пароли с помощью общедоступных средств. Поэтому не рекомендуется использовать обычную проверку подлинности, если пользователь не уверен, что связь защищена, например, при пользовании выделенной линией или соединением по SSL-протоколу.
Проверка подлинности Digest и WDigest
Дайджест-проверка подлинности предлагает такие же возможности, как и обычная проверка подлинности, но отличается более защищенным способом передачи учетных данных.
Проверка подлинности дайджест использует протокол HTTP 1.1 согласно определению RFC 2617 (http://go.microsoft.com/fwlink/?LinkId=160622). Этот протокол поддерживается не всеми обозревателями. Если обозреватель, не поддерживающий протокол HTTP 1.1, запрашивает файл при включенной проверке подлинности Digest, запрос отклоняется. Проверка подлинности Digest может использоваться только в доменах Windows.
Дайджест-проверка подлинности успешно применима, если на контроллере домена в доменной службе Active Directory хранится обратимая зашифрованная (текстовая) копия запроса пароля пользователя. Чтобы разрешить хранение паролей в незашифрованном текстовом виде, необходимо в доменной службе Active Directory активировать настройку Хранить пароль с использованием обратимого шифрования на вкладке Учетная запись. Также пользователь может включить данную функцию, установив соответствующую групповую политику. После настройки этого параметра необходимо установить новый пароль для активации этой функции, так как старый пароль не может быть определен.
W-дайджест, обновленная форма проверки подлинности дайджест, используется, если Forefront TMG установлен в домене Windows Server 2008. Проверка подлинности W-дайджест не требует, чтобы в доменной службе Active Directory хранилась обратимая зашифрованная копия пароля пользователя.
Проверка подлинности Digest и WDigest осуществляется следующим образом:
- Клиент делает запрос.
- Forefront TMG отказывает в доступе и предлагает клиенту ввести
имя пользователя и пароль для входа в учетную запись Windows.
Примечание. При использовании W-дайджест имя пользователя и имя
домена чувствительны к регистру и должны указываться точно так же,
как они отображены в доменной службе Active Directory. Кроме этого
для WDigest требуется ввести значение для пути доступа к URL.
Например, запрос пользователя http://host.domain.tld не
обрабатывается, поскольку отсутствует путь доступа к URL.
- Учетные данные пользователя проходят одностороннюю процедуру,
наименование которой известно как хэширование. На выходе
получается зашифрованный хэш или профиль сообщения. В него
добавляются значения для идентификации пользователя, компьютера
пользователя и домена. Чтобы исключить применение пользователем
аннулированного пароля, добавляется отметка времени. Это явное
преимущество перед обычной проверкой подлинности, поскольку
снижается вероятность перехвата и использования пароля
неавторизованным пользователем.
встроенная проверка подлинности Windows
Встроенная проверка подлинности Windows использует методы проверки подлинности NTLM, Kerberos и Negotiate. Это более безопасные формы проверки подлинности, поскольку имя пользователя и пароль хэшируются до отправления их по сети. Если включена проверка подлинности NTLM, Kerberos или Negotiate, обозреватель пользователя подтверждает пароль при помощи обмена криптографическими данными с сервером Forefront TMG и хэширования.
Ниже описывается, как происходит проверка подлинности клиента при встроенной проверке подлинности Windows.
- В зависимости от настроек обозревателя проверка подлинности
может не запрашивать изначально имя пользователя и пароль. Если
изначально не удается идентифицировать пользователя, обозреватель
запрашивает имя пользователя и пароль для входа в учетную запись
Windows, которые он обрабатывает с помощью встроенной проверки
подлинности Windows. Веб-браузер продолжает запрашивать имя
пользователя и пароль до тех пор, пока пользователь не введет
достоверные сведения или не закроет диалоговое окно с запросом. Имя
пользователя необходимо вводить в формате:
домен\имя_пользователя
- Если изначально не удается идентифицировать пользователя,
обозреватель запрашивает имя пользователя и пароль для входа в
учетную запись Windows, которые он обрабатывает с помощью
встроенной проверки подлинности Windows.
- Forefront TMG продолжает запрашивать имя пользователя и пароль
до тех пор, пока пользователь не введет достоверные сведения или не
закроет диалоговое окно с запросом.
Примечание. |
---|
|
Проверка подлинности на основе форм
Проверка подлинности на основе форм в Forefront TMG может использоваться для входящих запросов на опубликованные веб-серверы.
Существует три типа проверки подлинности на основе форм:
- Форма для ввода пароля. В эту форму
вводятся имя пользователя и пароль. Эти типы учетных данных
необходим для проверки подлинности с помощью доменной службы Active
Directory, LDAP и RADIUS.
- Форма для ввода секретного кода. В эту
форму вводятся имя пользователя и секретный код. Эти типы учетных
данных необходим для проверки одноразовых паролей методами SecurID
и RADIUS.
- Форма для ввода секретного кода и
пароля. В эту форму вводятся имя пользователя и секретный код,
а также имя пользователя и пароль. Имя пользователя и код доступа
используются при проверке подлинности для доступа к Forefront TMG с
помощью методов проверки подлинности одноразовых паролей SecurID
или RADIUS, а имя пользователя и пароль — при методе
делегирования.
Проверка подлинности сертификата клиента
Проверка подлинности сертификата клиента не поддерживается для исходящих веб-запросов.
Для входящих запросов на опубликованные ресурсы требование сертификата клиента может повысить безопасность опубликованного сервера пользователя. Пользователи могут получить сертификаты клиента в коммерческом (CA) или внутреннем центре сертификации организации пользователя. Сертификаты могут быть в виде смарт-карт или использоваться мобильными устройствами так, чтобы они могли подключаться к Microsoft ActiveSync.
Сертификат должен согласовываться с учетной записью пользователя. Когда пользователи делают запросы на опубликованные ресурсы, сертификат клиента, отправленный в Forefront TMG, передается на контроллер домена, который определяет соответствие между сертификатами и учетными записями. Forefront TMG должен являться членом домена. Сведения передаются обратно на Forefront TMG для применения соответствующих правил политики межсетевого экрана. Примечание. Forefront TMG не может передавать сертификаты клиента на внутренний веб-сервер.