Sunday, July 22nd, 2018

Понимание различных типов аутентификации ISA

Published on Февраль 6, 2009 by   ·   Комментариев нет

Необходимо освоить типы аутентификации, которые может использовать ISA для подтверждения достоверности с другими серверами и приложениями. В данной статье будут в общих чертах рассмотрены методы аутентификации, вопросы по их настройке здесь не рассматриваются. Для этого вы можете прочитать другие мои статьи, посвященные именно аспекту конфигурирования. Прошу заметить, что все тесты были проведены с использованием браузера IE версии 5.5 и выше, некоторые браузеры не поддерживают никакие другие типы аутентификации, кроме основной.

Вот четыре типа методов аутентификации, поддерживаемые ISA сервером:

  1. Клиентские и серверные сертификаты.
  2. Основная аутентификация
  3. Аутентификация по дайджесту (digest).
  4. Комплексная аутентификация.

Клиентские и серверные сертификаты

Серверный сертификат посылается клиенту во время подтверждения сервером своей подлинности. Затем сервер запрашивает информацию для подтверждения личности клиента. Клиент в свою очередь посылает соответствующий сертификат серверу.

В начале сеанса клиентский веб-браузер предоставляет зашифрованный опознавательный знак (или сертификат) для проверки SSL(Secure Sockets Layer — протокол защищенных сокетов) сервером. Сертификаты используются для проверки того, что клиент является именно тем за кого он себя выдает. Сертификат включает в себя всю необходимую информацию, относящуюся к данной организации или клиенту.

Клиентский сертификат (в сценарии установления SSL соединения)

Данный метод аутентификации используется, когда ISA сервер запрашивает клиентский сертификат у клиентской машины, перед тем как разрешить доступ к запрашиваемым ресурсам.

  1. Клиент посылает запрос ISA серверу и сервер в ответ посылает свой сертификат.
  2. Затем ISA сервер исполняет роль веб-сервера SSL.
  3. После получения клиентом сертификата сервера, он может проверить, действительно ли данный сертификат принадлежит ISA серверу.
  4. Затем клиент запрашивает нужные ему ресурсы у ISA сервера.
  5. ISA сервер сравнивает сертификат с сертификатом который он посылал в начале процесса клиенту (это дает понять что ни одна из сторон не “мухлюет”).
  6. ISA сервер проверяет разрешен ли данному клиенту доступ к запрашиваемой им информации.

На заметку: Клиентские сертификаты должны быть установлены в Хранилище Сертификатов Службы Веб Прокси на компьютере ISA сервера , куда посылаются запросы от клиентов. В совокупности это может быть одна или несколько машин в зависимости от структуры организации. Сертификаты в свою очередь должны быть поставлены в соответствие с учетными записями пользователей.

Серверные сертификаты

Когда клиент запрашивает SSL объекты у сервера, последний должен подтвердить свою подлинность. При любом обрыве соединения процесс аутентификации повторяется.

  1. Серверные сертификаты должны быть установлены на ISA сервере в Локальном Хранилище Серверных Сертификатов.
  2. Имя сертификата должно соответствовать имени ISA сервера или опубликованных веб-серверов.
  3. Когда клиент запрашивает SSL объекты у сервера, он также запрашивает подтверждение подлинности сервера.
  4. Если ISA сервер прерывает SSL соединение, он должен подтвердить свою подлинность.

Основная аутентификация

Основная аутентификация в точности соответствует процессу http аутентификации. Все данные передаются открытым текстом кроме имен и паролей, они закодированы.

Следствием этого является малая перегрузка системы.

  1. Приложение приглашает пользователя к вводу имени и пароля.
  2. Пользователь заполняет данные поля, не забывая о том, что пароль чувствителен к регистру.
  3. Приложение (веб-браузер) кодирует или подготавливает учетные данные и отправляет их серверу.
  4. Сервер сравнивает полученные данные со списком учетных записей пользователей, в домене или доверительном домене, и затем разрешает пользователю доступ к ресурсам, права на доступ к которым у него имеются.

Аутентификация по дайджесту

Заметка: Данный вид аутентификации поддерживается только в доменах Windows 2000.

Данный вид аутентификации безопаснее, чем основная аутентификация, так как учетные данные пользователя хэшируются или кодируются; тогда, как при основной аутентификации учетные данные посылаются открытым текстом.

  1. При аутентификации по дайджесту учетные данные пользователя проходят однонаправленную процедуру, называемую хешированием.
  2. Результатом процесса кэширования является дайджест сообщения (хэш) и исходные учетные данные не могут быть получены путем декодирования хэш-строки посылаемой ISA серверу. Перед тем как начать процесс хеширования к учетным данным пользователя добавляются уникальные данные (обычно пароль), поэтому никакой другой пользователь не может поймать пакет с помощью перехватчика пакетов и воспользоваться данными в своих целях.
  3. Данные добавляются к хэш-строке которая идентифицирует запрашивающий компьютер, имя пользователя и домен к которому относится пользователь. Также к строке добавляются временные отметки для большей надежности.

Комплексная аутентификация

На заметку: При использовании данного вида аутентификации настоятельно рекомендуется использовать браузер IE версии 5.5 и выше. Результатом использования других или более младших версий данного браузера может стать запрет на доступ к запрашиваемому ресурсу.

Данный вид аутентификации является защищенным, пароль и имя пользователя никогда не передается через сеть.

При комплексной аутентификации используется Kerbros или встроенный (NTLM) протокол аутентификации с запросом и подтверждением.

Сквозная аутентификация

На заметку: При сквозной аутентификации Kerbros не поддерживается.

Сквозной аутентификацией называется процесс, при котором ISA сервер передает подтверждающую информацию клиента серверу, ISA сервер поддерживает данный метод аутентификации как для исходящих так и для входящих веб запросов.

Типы аутентификации

Рисунок 1

  1. Клиент посылает GET запрос веб-серверу.
  2. Веб-сервер отвечает ошибкой номер 401 – требуется аутентификация, и какой вид аутентификации он поддерживает.
  3. ISA сервер предоставляет клиенту ответ сообщающий о необходимости аутентификации и клиент посылает ISA серверу запрашиваемую информацию, затем ISA сервер пересылает полученную информацию веб-серверу.
  4. После этого клиент соединяется непосредственно с веб-сервером.

Заключение:

Я проанализировал большое количество информации по аутентификации и надеюсь, это поможет вам в ваших поисках. Сложно найти причину неполадок, если ты не уверен, как происходит процесс аутентификации. Надеюсь, данная статья вам поможет.

Источник www.isaserver.org


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]