Informationen zur Authentifizierung bei der Webveröffentlichung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Wenn Clients einen Zugriff auf veröffentlichte interne Webserver anfordern, umfasst der Authentifizierungsprozess für Forefront TMG drei Phasen:

  • Empfang von Clientanmeldeinformationen

  • Überprüfung der Clientanmeldeinformationen bei einem Authentifizierungsanbieter wie Active Directory Domain Services (AD DS), RADIUS oder SecurID Authentication Manager.

  • Delegierung der Authentifizierung an Webserver hinter Forefront TMG, z. B. an Server mit SharePoint Portal Server 2007

    noteHinweis:
    Die ersten beiden Schritte werden im Weblistener konfiguriert, der die Clientanforderungen empfängt. Der dritte Schritt erfolgt in der Konfiguration der Veröffentlichungsregel. Dies bedeutet, dass Sie denselben Listener für unterschiedliche Regeln verwenden und mit verschiedenen Delegierungstypen arbeiten können.

Die folgende Abbildung veranschaulicht den Authentifizierungsprozess bei der formularbasierten Authentifizierung. Hier handelt es sich um eine vereinfachte Beschreibung des Prozesses, die auf die wesentlichen Schritte beschränkt ist.

Schritt 1: Empfang von Clientanmeldeinformationen – Der Client sendet eine Anforderung für eine Verbindung mit dem Outlook Web Access-Server des Unternehmens im Internen Netzwerk. Der Client legt Anmeldeinformationen im HTML-Format vor.

Schritte 2 und 3: Senden von Anmeldeinformationen – Forefront TMG sendet die Anmeldeinformationen an den Authentifizierungsanbieter, z. B. einen Domänencontroller für die AD DS-Authentifizierung oder an einen RADIUS-Server, und empfängt vom Authentifizierungsanbieter die Bestätigung, dass der Benutzer authentifiziert wurde.

Schritt 4: Delegierung der Authentifizierung – Forefront TMG leitet die Anforderung des Clients an den Outlook Web Access-Server und authentifiziert diesen beim Outlook Web Access-Server mithilfe der Anmeldeinformationen des Clients. Der Outlook Web Access-Server überprüft diese Anmeldeinformationen erneut, zumeist mithilfe desselben Authentifizierungsanbieters.

noteHinweis:
Der Webserver muss für die Verwendung des Authentifizierungsschemas konfiguriert sein, das der von Forefront TMG verwendeten Delegierungsmethode entspricht.

Schritt 5: Antwort des Servers – Der Outlook Web Access-Server sendet eine Antwort an den Client, die von Forefront TMG abgefangen wird.

Schritt 6: Weiterleiten der Antwort – Forefront TMG leitet die Antwort an den Client weiter.

noteHinweis:
  • Wenn Sie den Zugriff nicht auf authentifizierte Benutzer begrenzen, z. B. beim Verwenden einer Regel, die allen Benutzern den Zugriff erlaubt, überprüft Forefront TMG nicht die Anmeldeinformationen der Benutzer. Forefront TMG verwendet die Anmeldeinformationen des Benutzers zur Authentifizierung beim Webserver gemäß der konfigurierten Delegierungsmethode.

  • Es wird empfohlen, jede Veröffentlichungsregel auf alle authentifizierten Benutzer bzw. einen bestimmten Benutzersatz anzuwenden, anstatt Authentifizierung ist für alle Benutzer erforderlich im Weblistener auszuwählen, wodurch erforderlich wird, dass sich jeder Benutzer authentifizieren muss, der sich über den Listener verbindet.

Clientauthentifizierungsmethoden für den Empfang von Clientanmeldeinformationen

Forefront TMG-Weblistener akzeptieren von Clients die folgenden Authentifizierungstypen:

  • Keine Authentifizierung

  • Formularbasierte Authentifizierung

  • HTTP-Authentifizierung (Empfang im HTTP-Header)

  • Clientzertifikatauthentifizierung

Keine Authentifizierung

Sie können auswählen, dass Forefront TMG keine Authentifizierung anfordert. In diesem Fall können Sie keine Delegierungsmethode für Regeln konfigurieren, die diesen Weblistener verwenden.

Formularbasierte Authentifizierung

Sie können in Forefront TMG die formularbasierte Authentifizierung für die Veröffentlichung beliebiger Webserver verwenden. Es gibt in Forefront TMG drei Formen der formularbasierten Authentifizierung:

  • Kennwortformular – Der Benutzer gibt einen Benutzernamen und ein Kennwort in das Formular ein. Diese Art von Anmeldeinformationen wird für die AD DS-, LDAP- und RADIUS-Überprüfung der Anmeldeinformationen benötigt.

  • Passcodeformular – Der Benutzer gibt einen Benutzernamen und einen Passcode in das Formular ein. Diese Art von Anmeldeinformationen wird für die SecurID- und RADIUS-Einmalkennwort-Überprüfung benötigt.

  • Passcode-/Kennwortformular – Der Benutzer gibt einen Benutzernamen und einen Passcode sowie einen Benutzernamen und ein Kennwort ein. Der Benutzername und Passcode werden für die Authentifizierung bei Forefront TMG verwendet, indem SecurID- oder RADIUS-Einmalkennwort-Authentifizierungsmethoden eingesetzt werden. Der Benutzername und das Kennwort werden für die Delegierung verwendet.

Zurück zur Standardauthentifizierung

Wenn die formularbasierte Authentifizierung bei einem bestimmten Client nicht funktioniert, fordert Forefront TMG standardmäßig die Standardauthentifizierung an. Diese wird in den Forefront TMG-COM-Einstellungen in der Auflistung "UserAgentMappings" konfiguriert:

FPCRuleElements.UserAgentMappings

Weitere Informationen finden Sie unter Managing User-Agent Mappings (Verwalten von Benutzer-Agent-Zuordnungen) (http://go.microsoft.com/fwlink/?LinkId=106693).

Formulare für mobile Clients

Forefront TMG bietet Formulare für eine Vielzahl mobiler Clients. Diese Formulare befinden sich in den Ordnern CHTML und XHTML (für XHTML-MP-Formulare) an folgendem Speicherort:

Forefront TMG Installationsverzeichnis\Templates\CookieAuthTemplates

Forefront TMG verwendet den vom mobilen Client bereitgestellten Header User-Agent, um den Typ des anzuzeigenden Formulars zu bestimmen.

Kennwortverwaltung bei der formularbasierten Authentifizierung

Bei der formularbasierten Authentifizierung kann Forefront TMG Warnungen zu Kennwörtern anzeigen, die vor dem Ablauf stehen (in Form der Anzahl von Tagen, die Sie festlegen können), um den Benutzern zu ermöglichen, ihre Kennwörter zu ändern. Sie können diese beiden Funktionen getrennt oder kombiniert verwenden. Sie können beispielsweise Benutzer warnen, dass ihre Kennwörter vor dem Ablauf stehen, ohne ihnen das Ändern ihrer Kennwörter zu ermöglichen. Oder Sie können Ihnen einräumen, ihre Kennwörter zu ändern, ohne ihnen eine Warnung zu Kennwörtern anzuzeigen, die vor dem Ablauf stehen.

Wenn Sie Benutzern erlauben, ihre Kennwörter zu ändern, steht diese Option auf dem Anmeldeformular zur Verfügung. Wenn Sie Forefront TMG so konfigurieren, dass Warnungen zum Kennwortablauf angezeigt werden, wird den Benutzern eine getrennte Warnseite gezeigt, auf der sie ihre Kennwörter nach Wunsch ändern können. Anweisungen zum Konfigurieren der Funktion zum Ändern von Kennwörtern finden Sie unter Konfigurieren der Funktion zum Ändern von Kennwörtern.

noteHinweis:
  • Die HTML-Formulare für die formularbasierte Authentifizierung können umfassend angepasst werden.

  • Wenn Sie Forefront TMG für die Anforderung der Authentifizierung konfigurieren, eine Veröffentlichungsregel für einen bestimmten Benutzer oder Alle authentifizierten Benutzer gilt oder ein Weblistener auf Authentifizierung ist für alle Benutzer erforderlich eingestellt ist, überprüft Forefront TMG die Anmeldeinformationen, bevor die Anforderung weitergeleitet wird.

  • Standardmäßig legt die Spracheinstellung des Clientbrowsers die Sprache des Formulars fest, das Forefront TMG anzeigt. Forefront TMG stellt Formulare in 26 Sprachen bereit. Zudem kann Forefront TMG zum Anzeigen von Formularen in einer bestimmten Sprache unabhängig von der Sprache des Browsers konfiguriert werden.

Die folgenden Sicherheitsprobleme sollten beachtet werden:

  • Wenn Sie ein Zeitlimit für die formularbasierte Authentifizierung konfigurieren, sollte das Zeitlimit kürzer als das Zeitlimit sein, das vom veröffentlichten Server auferlegt wurde. Wenn das Zeitlimit des veröffentlichten Servers vor dem von Forefront TMG überschritten wird, kann der Benutzer irrtümlicherweise annehmen, dass die Sitzung beendet wurde. Dies kann es Angreifern ermöglichen, die Sitzung zu nutzen, die geöffnet bleibt, bis sie vom Benutzer geschlossen oder das Forefront TMG-Zeitlimit überschritten wird, das in der Formulareinstellung konfiguriert wurde.

  • Sie müssen sicherstellen, dass Ihre Webanwendung gegen so genannte Session Riding-Angriffe (auch Cross-Site-Posting-, Cross-Site-Request-Forgery- oder Luring-Angriffe genannt) geschützt ist, bevor Sie sie mit Forefront TMG veröffentlichen. Dies ist besonders für über Forefront TMG veröffentlichte Webserver wichtig, da Clients denselben Vertrauensgrad für alle Websites verwenden müssen, auf die sie durch die Forefront TMG-Firewall für die Veröffentlichung zugreifen.

  • In einem formularbasierten Authentifizierungsszenario, in dem ein Clientzertifikat erforderlich ist und der Benutzer kein Zertifikat angibt, kann er auf das Anmeldeformular zugreifen. Die Anmeldung wird anschließend von Forefront TMG aufgrund des fehlenden Clientzertifikats verweigert.

  • Die Formularanpassung beinhaltet die Bearbeitung der Datei Strings.txt. Wenn Sie die Datei Strings.txt einem Dritten zur Bearbeitung vorlegen, müssen Sie sicherstellen, dass an der Datei keine nicht textlichen Ergänzungen vorgenommen wurden, da diese als Instrument zum Angriff auf Ihre Netzwerke dienen könnten.

HTTP-Authentifizierung

Forefront TMG unterstützt die folgenden HTTP-Authentifizierungstypen:

  • Standardauthentifizierung – Bei der Standardauthentifizierung wird der die Anforderung sendende Client zur Angabe von Anmeldeinformationen aufgefordert. Forefront TMG überprüft die Anmeldeinformationen und verwendet diese beim Übergeben der Anforderung an den Webserver zur Authentifizierung beim Webserver in Übereinstimmung mit der konfigurierten Delegierungsmethode. Der Webserver muss für die Verwendung des Authentifizierungsschemas konfiguriert sein, das der von Forefront TMG verwendeten Delegierungsmethode entspricht. Weitere Informationen zur Standardauthentifizierung finden Sie unter Informationen zu Authentifizierungsmethoden.

  • Digest- und WDigest-Authentifizierung – Bei Verwendung der Digest- oder WDigest-Authentifizierung stellt der Client eine Anforderung. Forefront TMG lehnt die Anforderung ab und fordert den Client auf, Authentifizierungsinformationen anzugeben. Die Anmeldeinformationen werden zur Überprüfung an den Domänencontroller gesendet. Weitere Informationen finden Sie unter Informationen zu Authentifizierungsmethoden.

  • Integrierte Windows-Authentifizierung (NTLM) – Verwendet die Authentifizierungsmechanismen NTLM, Kerberos und Aushandeln. Die aktuellen Windows-Benutzerinformationen auf dem Clientcomputer werden für die Authentifizierung verwendet. Wenn der Authentifizierungsaustausch fehlschlägt, wird so lange vom Browser eine Aufforderung angezeigt, bis der Benutzer gültige Anmeldeinformationen eingibt oder das dazugehörige Dialogfeld schließt. Weitere Informationen zu diesen Authentifizierungsmethoden finden Sie unter Informationen zu Authentifizierungsmethoden.

Clientzertifikatauthentifizierung

Beim Clientzertifikatszenario stellt der Client ein Zertifikat bereit, woraufhin Forefront TMG den Client auf Basis dieses Zertifikats authentifiziert. Ein solches Zertifikat kann in eine Smartcard integriert oder von einem mobilen Gerät verwendet werden, damit dieses sich mit Microsoft ActiveSync verbinden kann.

Methoden für die Überprüfung von Clientanmeldeinformationen

Forefront TMG unterstützt die folgenden Servertypen für die Überprüfung von Clientanmeldeinformationen:

  • Keine Authentifizierung (erlaubt den internen Servern die Verarbeitung der Authentifizierung)

  • Windows Active Directory

  • LDAP-Server

  • RADIUS

  • Einmaliges RADIUS-Kennwort

  • SecurID

Sie können den Empfang und die Überprüfung von Clientanmeldeinformationen im Weblistener für eine Veröffentlichungsregel konfigurieren. Eine Veröffentlichungsregel mit einem Weblistener, der eine bestimmte Methode der Überprüfung von Anmeldeinformationen verwendet, muss mit einem Benutzersatz arbeiten, der zu dieser Überprüfungsmethode passt. Eine Verknüpfungsregel mit einem Weblistener, der die LDAP-Anmeldeinformationsüberprüfung verwendet, muss auch einen aus LDAP-Benutzern bestehenden Benutzersatz verwenden. Sie kann keine AD DS-Benutzer einschließen.

ImportantWichtig:
Wenn Sie über denselben Weblistener mehrere Anwendungen in derselben Domäne veröffentlichen, kann ein Benutzer, der für eine Anwendung authentifiziert ist, auch auf die anderen Anwendungen zugreifen, selbst wenn die einmalige Anmeldung (SSO) nicht aktiviert ist.

Authentifizierungsdelegierung

Nach Überprüfung der Anmeldeinformationen können Sie Veröffentlichungsregeln für die Verwendung einer der folgenden Methoden definieren, um die Anmeldeinformationen an die veröffentlichten Server zu delegieren:

  • Keine Delegierung, keine direkte Authentifizierung des Clients

  • Keine Delegierung, aber direkte Authentifizierung des Clients

  • Standard

  • NTLM

  • NTLM/Kerberos (Aushandeln)

  • SecurID

  • Eingeschränkte Kerberos-Delegierung

Konfigurieren der Authentifizierungsdelegierung

Die Delegierung von Clientanmeldeinformationen wird in der Veröffentlichungsregel konfiguriert. Im Assistenten für neue Webveröffentlichungsregeln konfigurieren Sie diese Einstellung auf der Seite Authentifizierungsdelegierung. In den Eigenschaften der Veröffentlichungsregel befinden sich die Authentifizierungseinstellungen auf der Registerkarte Authentifizierungsdelegierung.

Keine Delegierung, keine direkte Authentifizierung des Clients

Bei Wahl dieser Option delegiert Forefront TMG keine Anmeldeinformationen. Sie dient zum Verhindern der unbeabsichtigten Delegierung von Anmeldeinformationen in das Unternehmen, wo sie ggf. ausspioniert werden. Dies ist die Standardeinstellung einiger Veröffentlichungsassistenten von Forefront TMG, die geändert werden muss, wenn Sie die Anmeldeinformationen delegieren möchten.

Keine Delegierung, aber direkte Authentifizierung des Clients

Bei Wahl der Delegierungsmethode Keine Delegierung, aber direkte Authentifizierung des Clients übergibt Forefront TMG die Anmeldeinformationen des Benutzers an den Zielserver, ohne dass in irgendeiner Form Forefront TMG eingreift. Der Client und der Zielserver können anschließend die Authentifizierung aushandeln.

Standard

Bei der Standardauthentifizierung werden Anmeldeinformationen von Forefront TMG unverschlüsselt an den Server übertragen, der diese anfordert. Schlägt die Authentifizierung fehl, fordert Forefront TMG den Benutzer zur Authentifizierung gemäß dem für den Weblistener konfigurierten Authentifizierungstyp auf. Falls der Server einen anderen Typ von Anmeldeinformationen anfordert, wird ein Forefront TMG-Alarm ausgelöst.

NTLM

Bei der NTLM-Authentifizierung delegiert Forefront TMG die Anmeldeinformationen mithilfe des NTLM-Abfrage/Antwort-Authentifizierungsprotokolls. Schlägt die Authentifizierung fehl, ersetzt Forefront TMG die Delegierung durch den vom Weblistener verwendeten Authentifizierungstyp. Falls der Server einen anderen Typ von Anmeldeinformationen anfordert, wird ein Forefront TMG-Alarm ausgelöst.

NTLM/Kerberos (Aushandeln)

Wenn Sie Aushandeln als Delegierungsmethode auswählen, versucht Forefront TMG zuerst, ein Kerberos-Ticket für den Client vom Domänencontroller abzurufen. Wenn Forefront TMG das Kerberos-Ticket nicht empfängt, wird das Aushandlungsschema zur Delegierung der Anmeldeinformationen mithilfe von NTLM verwendet. Wenn Forefront TMG das Kerberos-Ticket empfängt, wird das Aushandlungsschema zur Delegierung der Anmeldeinformationen mithilfe von Kerberos verwendet. Schlägt die Authentifizierung fehl, übermittelt Forefront TMG die entsprechende Meldung des Servers an den Client. Falls der Server einen anderen Typ von Anmeldeinformationen anfordert, wird ein Forefront TMG-Alarm ausgelöst.

Der standardmäßige Dienstprinzipalname zum Abrufen des Tickets lautet http/Name_der_internen_Site. Bei einer Serverfarm ist der Dienstprinzipalname der Name der Farm. Der standardmäßige Dienstprinzipalname kann in der Forefront TMG-Verwaltung auf der Registerkarte Authentifizierungsdelegierung der Regel geändert werden.

noteHinweis:
In Microsoft Exchange Server 2003 wird Internet Information Services (IIS) unter dem Netzwerkdienstkonto ausgeführt. Forefront TMG verwendet den Platzhalter SPN HTTP\* und ersetzt das Sternchen durch den Hostnamen der veröffentlichten Site.

SecurID

Wenn ein Client SecurID-Anmeldeinformationen bereitstellt, können Sie die SecurID-Authentifizierungsdelegierung verwenden. Forefront TMG übergibt die proprietäre SecurID an den veröffentlichten Server. Forefront TMG und der veröffentlichte Server müssen denselben Domänenschlüssel und Cookienamen haben.

Eingeschränkte Kerberos-Delegierung

Ab ISA Server 2006 wird die eingeschränkte Kerberos-Delegierung unterstützt. Weitere Informationen zur eingeschränkten Kerberos-Delegierung finden Sie unter Kerberos Protocol Transition and Constrained Delegation (http://go.microsoft.com/fwlink/?LinkID=56785).

Ohne eingeschränkte Kerberos-Delegierung kann Forefront TMG Anmeldeinformationen nur delegieren, wenn die Clientanmeldeinformationen über die Standard- oder formularbasierte Authentifizierung empfangen werden. Bei der eingeschränkten Kerberos-Delegierung kann Forefront TMG andere Typen von Anmeldeinformationen akzeptieren, z. B. Clientzertifikate. Forefront TMG muss auf dem Domänencontroller aktiviert sein, um die (auf einen bestimmten Dienstprinzipalnamen) eingeschränkte Kerberos-Delegierung verwenden zu können.

Schlägt die Authentifizierung fehl, übermittelt Forefront TMG die entsprechende Meldung des Servers an den Client. Falls der Server einen anderen Typ von Anmeldeinformationen anfordert, wird ein Forefront TMG-Alarm ausgelöst.

noteHinweis:
  • Die eingeschränkte Kerberos-Delegierung erfordert, dass Sie AD DS so konfigurieren, dass Forefront TMG als vertrauenswürdig für die Delegierung erkannt wird.

  • Der standardmäßige Dienstprinzipalname zum Abrufen des Tickets lautet http/Name_der_internen_Site. Bei einer Serverfarm ist der Dienstprinzipalname der Name der Farm. Der standardmäßige Dienstprinzipalname kann in der Forefront TMG-Verwaltung auf der Registerkarte Authentifizierungsdelegierung der Regel geändert werden.

  • Zum Verwenden der eingeschränkten Kerberos-Delegierung muss Ihre Domäne auf der Windows Server 2003- oder einer höheren Domänenfunktionsebene ausgeführt werden.

  • Die Kerberos-Authentifizierung ist von UDP-Paketen abhängig. Diese sind zumeist fragmentiert. Wenn Ihr Forefront TMG-Computer sich in einer Domäne befindet und Sie das Blocken von IP-Fragmenten aktivieren, schlägt die Kerberos-Authentifizierung fehl. Wenn beispielsweise der Computer Kerberos für die Authentifizierung während der Benutzeranmeldung verwendet, schlägt die Anmeldung fehl. In Szenarien, in denen die Kerberos-Authentifizierung verwendet wird, empfiehlt Microsoft, das Blocken von Paketen mit IP-Fragmenten nicht zu aktivieren.

  • SharePoint Portal Server 2003 deaktiviert Kerberos standardmäßig, sodass bei der SharePoint-Veröffentlichung die NTLM/Kerberos- (Aushandeln) und eingeschränkte Kerberos-Delegierung nicht funktioniert. Um Kerberos zu aktivieren, folgen Sie den Anweisungen unter Konfigurieren eines virtuellen Windows SharePoint Services-Servers zur Verwendung von Kerberos-Authentifizierung und Wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung (http://go.microsoft.com/fwlink/?LinkId=160327).

  • In Microsoft Exchange Server 2003 wird Internetinformationsdienste (IIS) unter dem Konto Netzwerkdienst ausgeführt. Forefront TMG verwendet den Platzhalter SPN HTTP\* und ersetzt das Sternchen durch den Hostnamen der veröffentlichten Site.

Gültige Kombinationen aus Clientanmeldeinformationen und Delegierungsmethoden

Nicht jede Methode der Delegierung ist für einen bestimmten Typ von Clientanmeldeinformationen gültig. In der folgenden Tabelle werden die gültigen Kombinationen zusammengefasst:

 

Empfang von Clientanmeldeinformationen Authentifizierungsanbieter Delegierung

Formularbasierte Authentifizierung (nur Kennwort)

Standard

AD DS (Windows)

AD DS

LDAP

RADIUS

Keine Delegierung, aber direkte Authentifizierung des Clients

Keine Delegierung, keine direkte Authentifizierung des Clients

Standard

NTLM

Aushandeln

Eingeschränkte Kerberos-Delegierung

Digest

Integriert

AD DS (Windows)

Keine Delegierung, aber direkte Authentifizierung des Clients

Keine Delegierung, keine direkte Authentifizierung des Clients

Eingeschränkte Kerberos-Delegierung

Formularbasierte Authentifizierung mit Kennwort

SecurID

Einmaliges RADIUS-Kennwort

Keine Delegierung, aber direkte Authentifizierung des Clients

Keine Delegierung, keine direkte Authentifizierung des Clients

SecurID

Eingeschränkte Kerberos-Delegierung

Formularbasierte Authentifizierung (Passcode und Kennwort)

SecurID

Einmaliges RADIUS-Kennwort

Keine Delegierung, aber direkte Authentifizierung des Clients

Keine Delegierung, keine direkte Authentifizierung des Clients

Standard

NTLM

Aushandeln

SecurID (ohne einmaliges RADIUS-Kennwort)

Clientzertifikat

AD DS (Windows)

Keine Delegierung, aber direkte Authentifizierung des Clients

Keine Delegierung, keine direkte Authentifizierung des Clients

Eingeschränkte Kerberos-Delegierung

Verwandte Themen

Anzeigen: