ISA 2006 有许多验证委派方式,在验证用户信息后,您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法:
- No delegation, and client cannot authenticate directly
- No delegation, but client may authenticate directly
- Basic
- NTLM
- NTLM/Kerberos (Negotiate)
- RSA SecurID
- Kerberos constrained delegation
No Delegation, and Client Cannot Authenticate Directly
这个选项是防止委派外部客户端的验证信息,此选项是默认选项,如果希望委派外部客户端的验证信息,您必须改变此选项。
No Delegation, but Client May Authenticate Directly
用户的验证信息直接提交给内部客户端,客户端和内部服务器协商用户验证。
Basic 委派
用户验证信息以明文的方式提交给服务器,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
NTLM 委派
ISA 委派使用 NTLM (NT LAN Manager) 验证协议,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
NTLM/Kerberos (Negotiate) 委派
ISA 首先会从域控制器中拿 Kerberos 客户验证 ticket,如果 ISA 拿不到 Kerberos 客户验证 ticket,将会使用 NTLM 验证方式,如果 ISA 成功拿到 Kerberos 客户验证 ticket,将会使用 Kerberos 验证。如果验证失败,ISA 会发送内部服务器的报错信息给客户端。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
RSA SecurID 委派
当客户端能够提供 SecurID 用户验证信息,您可以使用 SecurID 验证委派。ISA 服务器把客户端的 SecurID 专有 cookie 传递给内部服务器。当使用 ISA 服务器 SecurID 委派时,内部服务器也必须配置为能够接受 SecurID 的用户验证。
Kerberos Constrained 委派
ISA 2006 引入了 Kerberos Constrained 委派验证.。没有 Kerberos Constrained 委派验证,ISA 只能委派来自客户端的基本验证或表单验证。有了 Kerberos Constrained 委派验证,ISA 服务器能够委派客户端的数字证书验证。在域中,ISA 服务器必须已经启用了 Kerberos Constrained 委派 (在域的 ISA 计算机委派选项中选”Trust this computer for delegation to specified services only”, 选择”Use any authentication protocol”, 并添加相应的 SPN,例如 http/InternalServerName)。
注意:
- Kerberos Constrained 委派需要您在域控内配置来启用 ISA 服务器信任委派。
- ISA 默认获得票据的 SPN 是 http/internalsitename。如果是内部服务器是 server farm,SPN 是 farm 的名字,ISA Kerberos Constrained 委派的 SPN 是可以修改的。
- 您的域级别必须是 Windows 2003 域功能级别,才能支持 Kerberos Constrained 委派。
- Kerberos 验证是依赖于 UDP 数据包的,UDP 数据包一般都会分组,所以我们推荐 ISA 服务器中不要勾选”Block IP fragments”
以下是客户端验证和 ISA 委派的组合表:
Receipt of client credentials
|
Authentication provider
|
Delegation
|
Forms-based authentication (password only)
Basic
|
Active Directory (Windows)
Active Directory (LDAP)
RADIUS
|
No delegation, but client may authenticate directly
No delegation, and client cannot authenticate directly
Basic
NTLM
Negotiate
Kerberos constrained delegation
|
Digest
Integrated
|
Active Directory (Windows)
|
No delegation, but client may authenticate directly
No delegation, and client cannot authenticate directly
Kerberos constrained delegation
|
Forms-based authentication with passcode
|
SecurID
RADIUS one-time password
|
No delegation, but client may authenticate directly
No delegation, and client cannot authenticate directly
SecurID
Kerberos constrained delegation
|
Forms-based authentication (passcode and password)
|
SecurID
RADIUS one-time password
|
No delegation, but client may authenticate directly
No delegation, and client cannot authenticate directly
Basic
NTLM
Negotiate
SecurID
|
Client certificate
|
Active Directory (Windows)
|
No delegation, but client may authenticate directly
No delegation, and client cannot authenticate directly
Kerberos constrained delegation
|
参考:
Authentication in ISA Server 2006
http://technet.microsoft.com/en-us/library/bb794722.aspx
James Yi
微软安全支持专家
分享到:
相关推荐
isa2006使用配置教程!非常详尽!大家可以进行下载 !
ISA2006教程ISA2006教程ISA2006教程ISA2006教程
Bandwidth Splitter v.1.39 for ISA Server 2004/2006
microsoft ISA2006配置详细教程,操作指南
ISA2006 系列教材 成为ISA2006 专家的必备书籍 本书文章出自“岳雷的微软网络课堂”,内容涵盖面很大,应该是现在最 为全面的ISA2006 防火墙学习书籍。很感谢岳雷老师抽时间为大家写出这么 经典的文章,同时感谢ISA ...
ISA 2006 的网络管理性能有目共睹 再补上一份原版的英文配置手册 学习邮箱:wdar163@126.com
ISA Server 2006 Web 代理和 Web 发布侦听器可能在接收到专门捏造的数据包后停止接受新请求。...ISA Server 2006 基于表单的身份验证可能会让恶意网站将浏览器重定向到看起来合法但实际上不合法的登录表单。
isa 2006 的安装配制教程
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web ...
收集整理了好就,希望对大家配置、使用isa2006有帮助。
由于TMG2010需要64位的CPU与Windows Server 2008操作系统,所以,如果原来的ISA Server 2006是安装在32位的CPU的服务器中,则不能升级到TMG2010,只能将ISA Server 2006的“策略”导出,在另外一台64位、安装Windows...
ISA2006完全架设、实施视频,ISA2006完全架设、实施视频
ISA2006的实验手册,帮助读者掌握ISA的基本操作和功能。
ISA.Server.2006简体中文标准版.iso
ISA Server 2006 企业中文版镜像
ISA2006中文实验手册 ISA2006中文实验手册 ISA2006中文实验手册
详细介绍ISA Server 2006,及配置
ISA2006经典教程 配置指南 实验环境搭建
ISA 2006 QQ ISA 2006 QQ ISA 2006 QQ ISA 2006 QQ ISA 2006 QQ 签名
横河电机工业无线ISA100.11a技术介绍pdf,横河电机工业无线ISA100.11a技术介绍:ISA100.11a网络架构允许在同一个骨干网上多个子网的运行和共存。 – 每个子网可以建的很大,容纳多达3万个设备。 – 将来的ISA...