Informationen zu Authentifizierungsservern

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Dieses Thema bietet einen Überblick über die Authentifizierungsserver, über die Clientanmeldeinformationen in Forefront TMG überprüft werden. Dazu gehören:

Windows Active Directory-Domänendienste

Bei der Überprüfung der Windows Active Directory-Domänendienste (AD DS) werden vom Client eingegebene Anmeldeinformationen an einen Domänencontroller übergeben, der diese mit der AD DS-Benutzerliste abgleicht. Der Client muss die Anmeldeinformationen in einem der folgenden Formate eingeben, damit der Domänencontroller diese erkennt:

  • Sicherheitskontenverwaltung-Kontoname (Domäne\Benutzername).

  • Benutzerprinzipalname (Benutzername@Domäne.com).

  • Definierter Name.

Die AD DS-Überprüfung kann nur erfolgen, wenn Forefront TMG Mitglied einer Domäne ist (entweder der Domäne des Domänencontrollers oder einer vertrauenswürdigen Domäne).

Sie können AD DS zum Überprüfen von Clientanmeldeinformationen für ausgehende Webanforderungen und eingehende Anforderungen nach veröffentlichten Webservern verwenden.

LDAP-Server

Diese Überprüfungsmethode ähnelt der Windows AD DS-Überprüfung. In dieser Methode stellt Forefront TMG über ein Lightweight Directory Access-Protokoll (LDAP, LDAPs, LDAP-GC und LDAPs-GC werden unterstützt) eine Verbindung mit einem LDAP-Server her. Zu erwähnen ist, dass jeder Domänencontroller ein LDAP-Server ist. Der LDAP-Server enthält einen Speicher der Anmeldeinformationen der AD DS-Benutzer. Da jeder Domänencontroller nur die Benutzer in seiner eigenen Domäne authentifizieren kann, fragt Forefront TMG standardmäßig den globalen Katalog einer Gesamtstruktur ab, um die Benutzeranmeldeinformationen zu überprüfen.

Der Client muss die Anmeldeinformationen in einem der folgenden Formate eingeben, damit AD DS diese erkennt:

  • Sicherheitskontenverwaltung-Kontoname (Domäne\Benutzername).

  • Benutzerprinzipalname (Benutzername@Domäne.com).

  • Definierter Name.

Sie können LDAP nur zum Überprüfen von Clientanmeldeinformationen für eingehende Anforderungen nach veröffentlichten Webservern verwenden.

RADIUS

Wenn Forefront TMG als RADIUS-Client (Remote Authentication Dial-In User Service) fungiert, werden Benutzeranmeldeinformationen an einen RADIUS-Server gesendet. Der RADIUS-Server authentifiziert die RADIUS-Clientanforderung und sendet eine Antwort in Form einer RADIUS-Nachricht zurück. In der Forefront TMG-Verwaltungskonsole können Sie die für die Authentifizierung verwendeten RADIUS-Server sowie einen gemeinsamen geheimen Schlüssel konfigurieren. Derselbe gemeinsame geheime Schlüssel muss auf dem RADIUS-Server konfiguriert werden.

Sie können die RADIUS-Authentifizierung für ausgehende Webproxyanforderungen und eingehende Anforderungen nach veröffentlichten Webservern verwenden.

Einmaliges RADIUS-Kennwort

Forefront TMG kann ein einmaliges RADIUS-Kennwort zum Überprüfen von Anmeldeinformationen für eingehende Anforderungen nach veröffentlichten Webservern nutzen. Mechanismen für einmalige Kennwörter umfassen zumeist tragbare Geräte (physische Token) und einen Server. Sowohl der Server als auch die Geräte erzeugen in festgelegten Abständen neue Passcodes. Die Passcodes sind für jedes Gerät eindeutig (der gleiche Passcode kommt nicht bei mehreren Geräten vor). Der Server, der die Passcodes überprüft, ist auf einem RADIUS-Server installiert und kann der vorhandenen Liste der RADIUS-Benutzer zugeordnet werden.

Beachten Sie die folgenden Informationen zu Passcodes:

  • Jeder Passcode kann nur einmal verwendet werden.

  • In das von Forefront TMG bereitgestellte Formular gibt der Benutzer den Benutzernamen und den vom tragbaren Gerät angegebenen Passcode ein. Forefront TMG sendet den Benutzernamen und Passcode zur Überprüfung an den RADIUS-Server.

  • Da der Passcode kein zweites Mal verwendet werden kann, überprüft Forefront TMG bei jeder Anforderung die Anmeldeinformationen nicht nochmals. Stattdessen stellt Forefront TMG dem Client ein Cookie aus, das eine fortgesetzte Kommunikation ohne erneute Authentifizierung zulässt.

  • Einige RADIUS-Server verhindern die Anmeldung eines Benutzers, dessen Anmeldeversuche die angegebene Anzahl überschritten haben. Wenn ein böswilliger Benutzer absichtlich versucht, sich dieser Anzahl entsprechend mit einem zulässigen Benutzernamen und falschen Passcodes anzumelden, wird das System so lange für diesen Benutzer gesperrt, bis Sie den Zugriff für ihn zurücksetzen. Es wird empfohlen, die Sperrfunktion auf dem Server für das einmalige RADIUS-Kennwort zu deaktivieren, damit dies nicht passiert. Die Forefront TMG-Einstellung Max. HTTP-Anforderungen pro Minute pro IP-Adresse (die Sie in den Eigenschaften von Abwehr von Massenangriffen von Forefront TMG festlegen können) wehrt Brute-Force-Angriff zum Erraten von Kennwörtern ab, weshalb Sie die RADIUS-Sperrfunktion guten Gewissens deaktivieren können.

RSA SecurID

RSA SecurID basiert auf Technologie von RSA, der Sicherheitsabteilung von EMC. Forefront TMG kann mithilfe von SecurID auch die Anmeldeinformationen für eingehende Anforderungen nach veröffentlichten Webressourcen überprüfen.

SecurID erfordert, dass ein Remotebenutzer die folgenden Informationen angibt, um Zugriff auf geschützte Ressourcen zu erhalten:

  • Persönliche Identifizierungsnummer (PIN).

  • Physisches Token, das ein zeitlich begrenztes einmaliges Kennwort generiert.

noteHinweis:
Weder PIN noch das per Token generierte einmalige Kennwort gewähren unabhängig voneinander Zugriff. Beide sind erforderlich.

Wenn ein Benutzer versucht, auf mit RSA SecurID geschützte Webseiten zuzugreifen, überprüft der Forefront TMG-Server im Auftrag des von Forefront TMG zu schützenden Servers, auf dem Internetinformationsdienste (IIS) ausgeführt wird, ob ein bestimmtes Cookie vorhanden ist. Dieses Cookie, das nur temporär gespeichert wird, ist nur dann vorhanden, wenn sich der betreffende Benutzer vor kurzem authentifiziert hat. Wenn das Cookie des Benutzers fehlt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Passcodes für SecurID aufgefordert. Der Passcode besteht aus einer Kombination aus PIN und Tokencode des Benutzers. Der RSA Authentication Agent auf dem Forefront TMG-Server überträgt diese Anmeldeinformationen zur Überprüfung und Bestätigung an den RSA Authentication Manager-Computer. Bei erfolgreicher Bestätigung der Anmeldeinformationen durch RSA Authentication Manager wird für nachfolgende Aktivitäten ein Cookie an den Browser des Benutzers übermittelt und dem Benutzer Zugriff auf den Inhalt gewährt.

Beachten Sie die folgenden Informationen:

  • Für die SecurID-Delegierung generiert Forefront TMG Cookies, die mit RSA Authentication Agent 5.0 kompatibel sind. Bei Verwenden der SecurID-Delegierung müssen Sie den Authentifizierungs-Agent-Computer so konfigurieren, dass diesen Cookies vertraut wird. Fügen Sie dazu der Registrierung des Authentifizierungs-Agent-Computers den folgenden Zeichenfolgenwert hinzu:
    Agent50CompatibleCookies unter HKLM\Software\SDTI\RSAAgent.

  • Wenn Forefront TMG mit mehreren Netzwerkadaptern konfiguriert ist und Sie einen Weblistener mit aktivierter RSA SecurID-Authentifizierung erstellen, sollten Sie explizit die Netzwerkadapteradresse konfigurieren, über die Forefront TMG zu Authentifizierungszwecken eine Verbindung zu RSA Authentication Manager herstellt. Andernfalls kann Forefront TMG die SecurID-Authentifizierung möglicherweise nicht durchführen. Geben Sie die IP-Adresse im folgenden Registrierungsschlüssel als Zeichenfolgenwert an:
    HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP

  • Die Verwendung von SSL (Secure Sockets Layer) zur Verschlüsselung der Kommunikation zwischen dem Client und Forefront TMG wird empfohlen.

  • Weitere Informationen finden Sie unter RSA Authentication Manager (RSA-Authentifizierungs-Manager, möglicherweise nur auf Englisch verfügbar) (http://go.microsoft.com/fwlink/?LinkId=180393).

Verwandte Themen

Anzeigen: