首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-服务器发布 > 微软大中华区安全组文章合集 - ISA 发布网站秘技
现在时间是: 2019-02-19 19:15
微软大中华区安全组文章合集 - ISA 发布网站秘技

(2010-11-08 12:57)

ISA 2006 验证委派弹性得不得了!

《本文转自微软大中华区安全组博客文章ISA 2006 验证委派弹性得不得了!

ISA 2006 有许多验证委派方式,在验证用户信息后,您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法:

  • No delegation, and client cannot authenticate directly
  • No delegation, but client may authenticate directly
  • Basic
  • NTLM
  • NTLM/Kerberos (Negotiate)
  • RSA SecurID
  • Kerberos constrained delegation

clip_image002

No Delegation, and Client Cannot Authenticate Directly

这个选项是防止委派外部客户端的验证信息,此选项是默认选项,如果希望委派外部客户端的验证信息,您必须改变此选项。

No Delegation, but Client May Authenticate Directly

用户的验证信息直接提交给内部客户端,客户端和内部服务器协商用户验证。

Basic 委派

用户验证信息以明文的方式提交给服务器,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。

NTLM 委派

ISA 委派使用 NTLM (NT LAN Manager) 验证协议,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。

NTLM/Kerberos (Negotiate) 委派

ISA 首先会从域控制器中拿 Kerberos 客户验证 ticket,如果 ISA 拿不到 Kerberos 客户验证 ticket,将会使用 NTLM 验证方式,如果 ISA 成功拿到 Kerberos 客户验证 ticket,将会使用 Kerberos 验证。如果验证失败,ISA 会发送内部服务器的报错信息给客户端。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。

RSA SecurID 委派

当客户端能够提供 SecurID 用户验证信息,您可以使用 SecurID 验证委派。ISA 服务器把客户端的 SecurID 专有 cookie 传递给内部服务器。当使用 ISA 服务器 SecurID 委派时,内部服务器也必须配置为能够接受 SecurID 的用户验证。

Kerberos Constrained 委派

ISA 2006 引入了 Kerberos Constrained 委派验证.。没有 Kerberos Constrained 委派验证,ISA 只能委派来自客户端的基本验证或表单验证。有了 Kerberos Constrained 委派验证,ISA 服务器能够委派客户端的数字证书验证。在域中,ISA 服务器必须已经启用了 Kerberos Constrained 委派 (在域的 ISA 计算机委派选项中选”Trust this computer for delegation to specified services only”, 选择”Use any authentication protocol”, 并添加相应的 SPN,例如 http/InternalServerName)。

注意:

  • Kerberos Constrained 委派需要您在域控内配置来启用 ISA 服务器信任委派。
  • ISA 默认获得票据的 SPN 是 http/internalsitename。如果是内部服务器是 server farm,SPN 是 farm 的名字,ISA Kerberos Constrained 委派的 SPN 是可以修改的。
  • 您的域级别必须是 Windows 2003 域功能级别,才能支持 Kerberos Constrained 委派。
  • Kerberos 验证是依赖于 UDP 数据包的,UDP 数据包一般都会分组,所以我们推荐 ISA 服务器中不要勾选”Block IP fragments”

image

  • SharePoint Portal Server 2003 默认是禁用 Kerberos 验证的,NTLM/Kerberos (Negotiate) 和 Kerberos Constrained 委派是不工作的,怎样启用 kerberos 验证,请参考:http://support.microsoft.com/?id=832769

以下是客户端验证和 ISA 委派的组合表:

Receipt of client credentials

Authentication provider

Delegation

Forms-based authentication (password only)

Basic

Active Directory (Windows)

Active Directory (LDAP)

RADIUS

No delegation, but client may authenticate directly

No delegation, and client cannot authenticate directly

Basic

NTLM

Negotiate

Kerberos constrained delegation

Digest

Integrated

Active Directory (Windows)

No delegation, but client may authenticate directly

No delegation, and client cannot authenticate directly

Kerberos constrained delegation

Forms-based authentication with passcode

SecurID

RADIUS one-time password

No delegation, but client may authenticate directly

No delegation, and client cannot authenticate directly

SecurID

Kerberos constrained delegation

Forms-based authentication (passcode and password)

SecurID

RADIUS one-time password

No delegation, but client may authenticate directly

No delegation, and client cannot authenticate directly

Basic

NTLM

Negotiate

SecurID

Client certificate

Active Directory (Windows)

No delegation, but client may authenticate directly

No delegation, and client cannot authenticate directly

Kerberos constrained delegation

参考:

Authentication in ISA Server 2006

http://technet.microsoft.com/en-us/library/bb794722.aspx

James Yi
微软安全支持专家


作者:
责任编辑:微软大中华区安全组

<<上一页 [1] [2] [3] [4]
上一篇:How to :发布内部网络中的文件共享服务
相关信息:

[下载]本站站长风间子所做的Webcast讲座录像下载
使用RADIUS来验证Web代理用户
How to :使用GFI WebMonitor for ISA Server监控Web流量
微软大中华区安全组文章合集 - ISA 网卡相关四不要
ISA Server 与 Windows Server 2003 SP2 的兼容性问题 v1.1

热点信息 TOP 10
使用ISA防火墙的OWA发布规则来发布OWA站点
How to:发布位于本地主机上的Web站点
How to:在ISA Server 2004中发布安全Web服务
How to :使用域名发布多个Web站点
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
在托管主机单网卡环境下如何进行web发布
How to :发布内部网络中的文件共享服务
通过ISA防火墙的安全Exchange RPC过滤器允许任何地点的Outlook客户访问
How to : 在ISA Server 2004中发布内部网络中的PcAnyWhere服务器
使用ISA Server 2004 发布Web站点

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..