首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA防火墙中的防火墙客户身份验证 v1.1
现在时间是: 2018-11-15 18:10
ISA防火墙中的防火墙客户身份验证 v1.1

(2006-02-21 00:59)

ISA防火墙中的防火墙客户身份验证

 

对于防火墙客户而言,当用户需要访问非本地网络时,防火墙客户端应用程序首先将当前登录用户的身份凭据提交至ISA防火墙进行身份验证,只有在用户的身份凭据通过验证时,ISA防火墙才会处理此用户的网络访问请求。

需要注意的是:

  • 如果当前的 ISA Server 访问规则(不受发布规则限制)中,并没有任何一条规则要求用户进行身份验证,那么 ISA Server 将不会检查防火墙客户端提交的用户身份验证信息;防火墙客户端的访问请求将被允许,并且在 ISA Server 管理控制台会话中显示的客户端用户名后面加上“?”号;
  • 如果当前的 ISA Server 访问规则中,具有任何一条访问规则要求用户进行身份验证, 那么 ISA Server 将检查防火墙客户端提交的用户身份验证信息;如果防火墙客户端提交的用户身份验证信息未能通过验证, 那么防火墙客户端将提示身份验证失败,并且拒绝为当前用户提供服务。

由于涉及到身份验证凭据的传送,防火墙客户端应用程序和ISA防火墙之间的通讯是经过加密的。微软并没有对具体的验证方式进行任何相关的说明,只知道它采用的是集成身份验证机制。当ISA防火墙和防火墙客户属于相同的域时,ISA防火墙可以通过活动目录来验证防火墙客户。但是当ISA防火墙和防火墙客户并不属于相同的域或者其中一个属于工作组环境时,你必须创建镜像账户(用户名和密码与防火墙客户所提交的身份凭据完整一致的用户账户)才能让防火墙客户通过验证,那么在使用镜像账户时,ISA防火墙又是如何验证用户的身份凭据呢?

当ISA防火墙只是具有一个用户身份验证数据库时(ISA防火墙属于工作组环境或者ISA防火墙作为域控制器时),它将使用自己的用户身份验证数据库(工作组环境中使用本地SAM数据库;作为域控制器时使用活动目录)来验证防火墙客户提交的身份凭据,而不管防火墙客户提交的身份凭据中的所属域,当防火墙客户提交的身份凭据通过ISA防火墙的验证时,ISA防火墙允许防火墙客户的网络访问。

例如以下场景:

  • ISA防火墙属于工作组环境,防火墙客户属于某个域或属于工作组环境,则可以在ISA防火墙上创建镜像账户以让防火墙客户通过验证;

  • ISA防火墙作为域控制器,防火墙客户属于不同的域或者属于工作组环境,则同样在ISA防火墙上创建镜像账户以让防火墙客户通过验证。

 

当ISA防火墙具有多个用户身份验证数据库时(ISA防火墙属于某个域,但是不作为域控制器),则ISA防火墙根据接收到的防火墙客户提交的身份凭据中的所属域来判断用于进行验证的数据库。只有在防火墙客户提交的身份凭据中的所属域匹配ISA防火墙所属于的域时,ISA防火墙使用活动目录中的用户身份信息进行验证;否则ISA防火墙使用本地SAM数据库进行身份验证。

例如以下场景,ISA防火墙加入域ISACN.ORG,但是不作为域控制器:

  • 如果防火墙客户属于工作组环境,则必须在ISA防火墙中创建本地镜像账户(在本地SAM数据库中创建)以让防火墙客户通过验证,而不能在ISACN.ORG域中创建镜像账户;

  • 如果防火墙客户属于不同的域,则同样必须在ISA防火墙中创建本地镜像账户(在本地SAM数据库中创建)以让防火墙客户通过验证,而不能在ISACN.ORG域中创建镜像账户;

因此,在需要使用用户身份验证时,建议大家将ISA防火墙和所有的防火墙客户加入到相同的域中,从而避免创建镜像账户所带来的额外管理负担。

作者:风间子
责任编辑:风间子

[1]
上一篇:访问规则和服务发布规则的区别 v1.1
下一篇:关于服务发布中请求转发选项的说明
相关信息:

配置直接访问的站点:第一部分 配置Web代理客户的直接访问
ISA Server 2004 需要安装的补丁下载(即时更新)
在托管主机单网卡环境下如何进行web发布
How to :如何让linux客户计算机通过ISA Server的集成身份验证
How to :发布内部网络中的腾讯通服务

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server 2004 中的HTTP筛选
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..