ISA 2006 有许多验证委派方式,在验证用户信息后,您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法:
No Delegation, and Client Cannot Authenticate Directly
这个选项是防止委派外部客户端的验证信息,此选项是默认选项,如果希望委派外部客户端的验证信息,您必须改变此选项。
No Delegation, but Client May Authenticate Directly
用户的验证信息直接提交给内部客户端,客户端和内部服务器协商用户验证。
Basic 委派
用户验证信息以明文的方式提交给服务器,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
NTLM 委派
ISA 委派使用 NTLM (NT LAN Manager) 验证协议,如果验证失败,ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
NTLM/Kerberos (Negotiate) 委派
ISA 首先会从域控制器中拿 Kerberos 客户验证 ticket,如果 ISA 拿不到 Kerberos 客户验证 ticket,将会使用 NTLM 验证方式,如果 ISA 成功拿到 Kerberos 客户验证 ticket,将会使用 Kerberos 验证。如果验证失败,ISA 会发送内部服务器的报错信息给客户端。如果内部服务器请求另外一种验证方式,ISA 服务器会有报警信息。
RSA SecurID 委派
当客户端能够提供 SecurID 用户验证信息,您可以使用 SecurID 验证委派。ISA 服务器把客户端的 SecurID 专有 cookie 传递给内部服务器。当使用 ISA 服务器 SecurID 委派时,内部服务器也必须配置为能够接受 SecurID 的用户验证。
Kerberos Constrained 委派
ISA 2006 引入了 Kerberos Constrained 委派验证.。没有 Kerberos Constrained 委派验证,ISA 只能委派来自客户端的基本验证或表单验证。有了 Kerberos Constrained 委派验证,ISA 服务器能够委派客户端的数字证书验证。在域中,ISA 服务器必须已经启用了 Kerberos Constrained 委派 (在域的 ISA 计算机委派选项中选”Trust this computer for delegation to specified services only”, 选择”Use any authentication protocol”, 并添加相应的 SPN,例如 http/InternalServerName)。
注意:
以下是客户端验证和 ISA 委派的组合表:
Receipt of client credentials |
Authentication provider |
Delegation |
Forms-based authentication (password only) Basic |
Active Directory (Windows) Active Directory (LDAP) RADIUS |
No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Basic NTLM Negotiate Kerberos constrained delegation |
Digest Integrated |
Active Directory (Windows) |
No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Kerberos constrained delegation |
Forms-based authentication with passcode |
SecurID RADIUS one-time password |
No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly SecurID Kerberos constrained delegation |
Forms-based authentication (passcode and password) |
SecurID RADIUS one-time password |
No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Basic NTLM Negotiate SecurID |
Client certificate |
Active Directory (Windows) |
No delegation, but client may authenticate directly No delegation, and client cannot authenticate directly Kerberos constrained delegation |
参考:
Authentication in ISA Server 2006
http://technet.microsoft.com/en-us/library/bb794722.aspx
James Yi
微软安全支持专家