Informationen zu Authentifizierungsmethoden

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Dieses Thema bietet eine Übersicht über die von Forefront TMG verwendeten Methoden zur Authentifizierung von Clients. Dazu gehören:

Eine Zusammenfassung der Szenarien, in denen die einzelnen Methoden verwendet werden, finden Sie unter Übersicht über die Authentifizierung in Forefront TMG.

HTTP-Authentifizierung

Forefront TMG unterstützt die folgenden HTTP-Authentifizierungstypen:

Standardauthentifizierung

Die Standardauthentifizierung ist eine sehr gängige Methode zum Erfassen von Benutzernamen- und Kennwortinformationen. Bei der Standardauthentifizierung werden Benutzerinformationen als unverschlüsselte Klartextzeichen gesendet und empfangen. Obwohl Kennwörter und Benutzernamen bei der Standardauthentifizierung codiert werden, wird keine Verschlüsselung verwendet.

Nachfolgend sind die einzelnen Schritte zur Authentifizierung eines Clients über die Standardauthentifizierung aufgeführt:

  1. Der Benutzer wird zur Eingabe eines Windows-Kontobenutzernamens und eines Kennworts (seiner Anmeldeinformationen) aufgefordert.

  2. Forefront TMG empfängt die HTTP-Anforderung mit den Anmeldeinformationen und überprüft diese im Abgleich mit dem angegebenen Authentifizierungsserver (RADIUS oder Active Directory-Domänendienste (AD DS), LDAP-Server nur bei eingehenden Anforderungen).

  3. Für ausgehende Webproxyanforderungen überprüft Forefront TMG Anmeldeinformationen und wertet anschließend Zugriffsregeln aus. Bei eingehenden Anforderungen verwendet Forefront TMG die Anmeldeinformationen zur Authentifizierung beim veröffentlichten Webserver gemäß der konfigurierten Delegierungsmethode. Der Webserver muss für die Verwendung des Authentifizierungsschemas konfiguriert sein, das der von Forefront TMG verwendeten Delegierungsmethode entspricht. Das unverschlüsselte Kennwort wird Base64-codiert, bevor es über das Netzwerk gesendet wird. Dabei handelt es sich allerdings nicht um eine Verschlüsselung. Wenn das Kennwort bei der Übertragung durch das Netzwerk von einem Spionageprogramm abgefangen wird, können nicht autorisierte Benutzer das Kennwort decodieren und erneut verwenden.

Der Vorteil der Standardauthentifizierung ist, dass sie von nahezu allen HTTP-Clients unterstützt wird. Als Nachteil erweist sich jedoch die Tatsache, dass mit der Standardauthentifizierung Kennwörter durch Webbrowser nur in unverschlüsselter Form übertragen werden. Durch Überwachung des Datenverkehrs in Ihrem Netzwerk kann ein Angreifer oder böswilliger Benutzer diese Kennwörter mit frei verfügbaren Programmen abfangen und decodieren. Aus diesem Grund ist die Verwendung der Standardauthentifizierung nur dann empfehlenswert, wenn Sie über eine sichere Verbindung verfügen, beispielsweise eine Standleitung oder eine SSL-Verbindung (Secure Sockets Layer).

Digest- und WDigest-Authentifizierung

Die Digestauthentifizierung bietet dieselben Funktionen wie die Standardauthentifizierung, die Authentifizierungsinformationen werden jedoch auf sicherere Weise übertragen.

Die Digestauthentifizierung basiert auf dem Protokoll HTTP 1.1 gemäß der Definition in RFC 2617 (http://go.microsoft.com/fwlink/?LinkId=160622). Dieses Protokoll wird nicht von allen Browsern unterstützt. Wenn ein nicht mit HTTP 1.1 kompatibler Browser bei aktivierter Digestauthentifizierung eine Datei anfordert, wird die Anforderung abgelehnt. Die Digestauthentifizierung kann nur in Windows-Domänen verwendet werden.

Die Digestauthentifizierung ist nur erfolgreich, wenn der Domänencontroller in AD DS eine umkehrbar verschlüsselte (Klartext-) Kopie des Kennworts des anfordernden Benutzers gespeichert hat. Damit Kennwörter als Klartext gespeichert werden können, muss in AD DS auf der Registerkarte Konto des Benutzers die Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern aktiviert sein. Diese Funktion kann auch über eine Gruppenrichtlinie aktiviert werden. Nachdem Sie diese Einstellung vorgenommen haben, müssen Sie ein neues Kennwort zur Aktivierung dieser Funktion festlegen, da das alte Kennwort nicht ermittelt werden kann.

WDigest, eine neue Form der Digestauthentifizierung, kommt zum Einsatz, wenn Forefront TMG in einer Windows Server 2008-Domäne installiert wird. WDigest erfordert nicht, dass eine umgekehrt verschlüsselte Kopie des Benutzerkennworts in AD DS gespeichert wird.

Die Digest- und WDigest-Authentifizierung funktioniert wie folgt:

  1. Der Client sendet eine Anforderung.

  2. Forefront TMG lehnt die Anforderung ab und fordert den Client auf, einen Windows-Benutzerkontonamen und ein Kennwort einzugeben. Bei Verwenden der WDigest-Authentifizierung müssen Benutzername und Domänenname unter Beachtung der Groß-/Kleinschreibung genauso eingegeben werden, wie sie in AD DS angezeigt werden. Darüber hinaus fordert WDigest einen Wert im Ressourcenteil des URL-Pfads an. Die Benutzeranforderung http://host.domain.tld schlägt beispielsweise fehl, da die URL-Ressource fehlt.

  3. Die Authentifizierungsanmeldeinformationen durchlaufen einen unidirektionalen Prozess, der auch als Hashing bezeichnet wird. Das Ergebnis ist ein verschlüsselter Hash- oder Nachrichtendigest. Werte (Computer und Domäne des Benutzers) werden hinzugefügt, um den Benutzer zu identifizieren. Um zu verhindern, dass gesperrte Kennwörter verwendet werden, wird auch ein Zeitstempel hinzugefügt. Dies ist ein klarer Vorteil im Vergleich zur Standardauthentifizierung, da es für nicht autorisierte Personen deutlich schwieriger ist, das Kennwort abzufangen bzw. zu verwenden.

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung umfasst die Authentifizierungsmechanismen NTLM, Kerberos und Aushandlung. Dies sind sicherere Formen der Authentifizierung, da der Benutzername und das Kennwort vor der Übertragung durch das Netzwerk durch einen Hashprozess verschlüsselt werden. Bei aktivierter integrierter Windows-Authentifizierung lässt der Browser des Benutzers das Kennwort durch den Austausch verschlüsselter Daten mit Ihrem Forefront TMG-Server überprüfen. Dabei wird ein Hashprozess durchgeführt.

Nachfolgend sind die einzelnen Schritte zur Authentifizierung eines Clients mit der integrierten Windows-Authentifizierung aufgeführt:

  1. Je nach Browserkonfiguration wird ein Benutzer bei dieser Authentifizierung zunächst nicht zur Eingabe des Benutzernamens und des Kennworts aufgefordert. Falls der Benutzer beim ersten Authentifizierungsaustausch nicht identifiziert werden kann, wird der Benutzer im Browser zur Eingabe eines Windows-Kontobenutzernamens und des entsprechenden Kennworts aufgefordert. Der Browser verarbeitet diese Eingabedaten dann mit der integrierten Windows-Authentifizierung. Die Eingabeaufforderung wird im Webbrowser so lange angezeigt, bis der Benutzer einen gültigen Benutzernamen und ein passendes Kennwort eingibt oder das Eingabedialogfeld schließt. Der Benutzername muss in folgendem Format eingegeben werden: Domäne\Benutzername

  2. Falls der Benutzer beim ersten Authentifizierungsaustausch nicht identifiziert werden kann, wird der Benutzer im Browser zur Eingabe eines Windows-Kontobenutzernamens und des entsprechenden Kennworts aufgefordert. Der Browser verarbeitet diese Eingabedaten dann mit der integrierten Windows-Authentifizierung.

  3. Die Eingabeaufforderung wird in Forefront TMG so lange angezeigt, bis der Benutzer einen gültigen Benutzernamen und ein passendes Kennwort eingibt oder das Eingabedialogfeld schließt.

noteHinweis:
  • Forefront TMG kommuniziert mit dem AD DS-Server, wenn die NTLM-Authentifizierung erforderlich ist. Aus diesem Grund wird empfohlen, ein geschütztes Netzwerk für AD DS und Forefront TMG einzurichten, um den Zugriff durch (externe und interne) Benutzer auf diese Kommunikation zu verhindern.

  • Da die Authentifizierung einer externen Verbindung die NTLM-Authentifizierung verwendet, sollten Sie den Datenverkehr zwischen Forefront TMG und dem Client durch die SSL-Verschlüsselung schützen. Die NTLM-Authentifizierung ist verbindungsbasiert, und die Verschlüsselung verhindert die nicht ordnungsgemäße Wiederverwendung von Verbindungen durch ältere Proxygeräte im Internet.

Formularbasierte Authentifizierung

Die formularbasierte Authentifizierung in Forefront TMG kann zum Authentifizieren eingehender Anforderungen nach veröffentlichten Webservern verwendet werden.

Es gibt drei Formen der formularbasierten Authentifizierung:

  • Kennwortformular – Der Benutzer gibt einen Benutzernamen und ein Kennwort in das Formular ein. Diese Art von Anmeldeinformationen wird für die AD DS-, LDAP- und RADIUS-Überprüfung der Anmeldeinformationen benötigt.

  • Passcodeformular – Der Benutzer gibt einen Benutzernamen und einen Passcode in das Formular ein. Diese Art von Anmeldeinformationen wird für die SecurID- und RADIUS-Überprüfung mit einmaligem Kennwort benötigt.

  • Passcode-/Kennwortformular – Der Benutzer gibt einen Benutzernamen und einen Passcode sowie einen Benutzernamen und ein Kennwort ein. Der Benutzername und der Passcode werden für die Authentifizierung bei Forefront TMG über SecurID- und RADIUS-Einmalkennwort-Authentifizierungsmethoden verwendet, der Benutzername und das Kennwort dienen zur Delegierung.

Clientzertifikatauthentifizierung

Die Clientzertifikatauthentifizierung wird nicht für die Authentifizierung ausgehender Webanforderungen unterstützt.

Bei eingehenden Anforderungen nach veröffentlichten Ressourcen kann das Anfordern eines Clientzertifikats die Sicherheit Ihres veröffentlichten Servers steigern. Benutzer erhalten Clientzertifikate von einer kommerziellen Zertifizierungsstelle oder einer unternehmensinternen Zertifizierungsstelle. Ein Zertifikat kann auch in eine Smartcard integriert oder von einem mobilen Gerät verwendet werden, damit dieses sich mit Microsoft ActiveSync verbinden kann.

Das Zertifikat muss einem Benutzerkonto zugeordnet werden. Wenn ein Benutzer veröffentlichte Ressourcen anfordert, wird das an Forefront TMG gesendete Clientzertifikat an einen Domänencontroller übergeben, der die Zuordnung zwischen Zertifikaten und Konten bestimmt. Forefront TMG muss Mitglied einer Domäne sein. Die Informationen werden zur Anwendung relevanter Firewallrichtlinienregeln zurück an Forefront TMG übergeben. Forefront TMG kann keine Clientzertifikate an einen internen Webserver übergeben.

Verwandte Themen

Anzeigen: