[技术分享 – ISA 篇] ISA 2006 验证委派弹性得不得了！

ISA 2006 有许多验证委派方式，在验证用户信息后，您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法：

• No delegation, and client cannot authenticate directly
• No delegation, but client may authenticate directly
• Basic
• NTLM
• NTLM/Kerberos (Negotiate)
• RSA SecurID
• Kerberos constrained delegation

No Delegation, and Client Cannot Authenticate Directly

这个选项是防止委派外部客户端的验证信息，此选项是默认选项，如果希望委派外部客户端的验证信息，您必须改变此选项。

No Delegation, but Client May Authenticate Directly

用户的验证信息直接提交给内部客户端，客户端和内部服务器协商用户验证。

Basic 委派

用户验证信息以明文的方式提交给服务器，如果验证失败，ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

NTLM 委派

ISA 委派使用 NTLM (NT LAN Manager) 验证协议，如果验证失败，ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

NTLM/Kerberos (Negotiate) 委派

ISA 首先会从域控制器中拿 Kerberos 客户验证 ticket，如果 ISA 拿不到 Kerberos 客户验证 ticket，将会使用 NTLM 验证方式，如果 ISA 成功拿到 Kerberos 客户验证 ticket，将会使用 Kerberos 验证。如果验证失败，ISA 会发送内部服务器的报错信息给客户端。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

RSA SecurID 委派

当客户端能够提供 SecurID 用户验证信息，您可以使用 SecurID 验证委派。ISA 服务器把客户端的 SecurID 专有 cookie 传递给内部服务器。当使用 ISA 服务器 SecurID 委派时，内部服务器也必须配置为能够接受 SecurID 的用户验证。

Kerberos Constrained 委派

ISA 2006 引入了 Kerberos Constrained 委派验证.。没有 Kerberos Constrained 委派验证，ISA 只能委派来自客户端的基本验证或表单验证。有了 Kerberos Constrained 委派验证，ISA 服务器能够委派客户端的数字证书验证。在域中，ISA 服务器必须已经启用了 Kerberos Constrained 委派 (在域的 ISA 计算机委派选项中选”Trust this computer for delegation to specified services only”, 选择”Use any authentication protocol”, 并添加相应的 SPN，例如 http/InternalServerName)。

注意：

• Kerberos Constrained 委派需要您在域控内配置来启用 ISA 服务器信任委派。
• ISA 默认获得票据的 SPN 是 http/internalsitename。如果是内部服务器是 server farm，SPN 是 farm 的名字，ISA Kerberos Constrained 委派的 SPN 是可以修改的。
• 您的域级别必须是 Windows 2003 域功能级别，才能支持 Kerberos Constrained 委派。
• Kerberos 验证是依赖于 UDP 数据包的，UDP 数据包一般都会分组，所以我们推荐 ISA 服务器中不要勾选”Block IP fragments”

• SharePoint Portal Server 2003 默认是禁用 Kerberos 验证的，NTLM/Kerberos (Negotiate) 和 Kerberos Constrained 委派是不工作的，怎样启用 kerberos 验证，请参考：http://support.microsoft.com/?id=832769

以下是客户端验证和 ISA 委派的组合表：

Receipt of client credentials	Authentication provider	Delegation
Forms-based authentication (password only) Basic	Active Directory (Windows) Active Directory (LDAP) RADIUS	No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Basic NTLM Negotiate Kerberos constrained delegation
Digest Integrated	Active Directory (Windows)	No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Kerberos constrained delegation
Forms-based authentication with passcode	SecurID RADIUS one-time password	No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly SecurID Kerberos constrained delegation
Forms-based authentication (passcode and password)	SecurID RADIUS one-time password	No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Basic NTLM Negotiate SecurID
Client certificate	Active Directory (Windows)	No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Kerberos constrained delegation

参考：

Authentication in ISA Server 2006

http://technet.microsoft.com/en-us/library/bb794722.aspx

James Yi
微软安全支持专家