關於驗證伺服器

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題提供可以用來在 Forefront TMG 中驗證用戶端認證的驗證伺服器概觀。這些驗證機制包括:

Windows Active Directory 網域服務

在 Windows Active Directory 網域服務 (AD DS) 驗證中,用戶端輸入的認證會傳遞給網域控制站,以便根據 AD DS 使用者清單檢查認證。輸入網域控制站所辨識的認證時,用戶端必須使用下列其中一種格式:

  • Security Accounts Manager (SAM) 帳戶名稱 (domain\username)。

  • 使用者主要名稱 (username@domain.com)。

  • 分辨名稱。

只有在 Forefront TMG 是網域成員 (可能與網域控制站位在相同網域或位在受信任網域中) 時,才可進行 AD DS 驗證。

您可以使用 AD DS 來驗證已發行網頁伺服器之輸出網頁要求及輸入要求的用戶端認證。

LDAP 伺服器

這個驗證方法與 Windows AD DS 驗證類似。在這個方法中,Forefront TMG 會透過 LDAP 通訊協定 (支援 LDAP、LDAPS、LDAP-GC 和 LDAPS-GC) 連線到輕量型目錄存取通訊協定 (LDAP) 伺服器。請注意,每個網域控制站都是 LDAP 伺服器。LDAP 伺服器會保存 AD DS 使用者認證的存放區。因為每個網域控制站都只能驗證其網域中的使用者,所以 Forefront TMG 預設會查詢樹系的通用類別目錄,以便驗證使用者認證。

輸入 AD DS 所辨識的認證時,用戶端必須使用下列其中一種格式:

  • SAM 帳戶名稱 (domain\username)。

  • 使用者主要名稱 (username@domain.com)。

  • 分辨名稱。

您只能使用 LDAP 來驗證已發行網頁伺服器之輸入要求的用戶端認證。

RADIUS

當 Forefront TMG 做為遠端驗證撥入使用者服務 (RADIUS) 用戶端時,它會將使用者認證傳送給 RADIUS 伺服器。RADIUS 伺服器會驗證 RADIUS 用戶端要求,並傳回 RADIUS 訊息回應。在 [Forefront TMG 管理] 主控台中,您可以設定要用來進行驗證的 RADIUS 伺服器,以及設定共用機密。也請在 RADIUS 伺服器上設定相同的共用機密。

您可以將 RADIUS 驗證用於已發行網頁伺服器的輸出網頁 Proxy 要求及連入要求。

RADIUS 單次密碼

Forefront TMG 可以使用 RADIUS 單次密碼來驗證已發行網頁伺服器之連入要求的認證。單次密碼 (Password) 機制通常由可攜式裝置 (實體 Token) 及伺服器所組成。伺服器及裝置都會以特定頻率產生新的密碼 (Passcode)。這些密碼 (Passcode) 是每個裝置特有的 (不會有兩個裝置共用相同的密碼)。驗證密碼 (Passcode) 的伺服器是安裝於 RADIUS 伺服器上,而且可以與現有的 RADIUS 使用者清單產生關聯。

請注意下列有關密碼 (Passcode) 的資訊:

  • 每個密碼 (Passcode) 只可以使用一次。

  • 在 Forefront TMG 提供的表單上,使用者輸入可攜式裝置提供的使用者名稱及密碼 (Passcode)。Forefront TMG 會將使用者名稱及密碼 (Passcode) 傳送給 RADIUS 伺服器,以進行驗證。

  • 因為密碼 (Passcode) 不可以使用兩次,所以 Forefront TMG 不會重新驗證每個要求的認證。不過,Forefront TMG 會發出 Cookie 給用戶端,允許持續性通訊但不需要重新驗證。

  • 某些 RADIUS 伺服器會封鎖已達指定登入失敗次數的使用者登入。如果惡意使用者故意使用合法的使用者名稱及錯誤的密碼 (Passcode) 嘗試進行該次數的登入,系統將會鎖定該使用者,直到您重設該使用者的存取為止。建議您停用 RADIUS 單次密碼 (Password) 伺服器上的鎖定功能,以防止發生這種狀況。Forefront TMG 的 [每分鐘,每一 IP 位址的 HTTP 要求數] 設定 (可以在 Forefront TMG 的 [洪水安全防護功能] 內容上設定) 會減輕暴力破解密碼猜測攻擊,因此可以安全地停用 RADIUS 鎖定功能。

RSA SecurID

RSA SecurID 是以 RSA, The Security Division of EMC 提供的技術為基礎。Forefront TMG 也可以使用 SecurID 來驗證已發行網頁資源之連入要求的認證。

SecurID 需要遠端使用者提供下列資訊,才能存取受保護資源:

  • 個人識別碼 (PIN)。

  • 產生限時單次密碼的實體 Token。

note附註:
PIN 及 Token 產生的單次密碼都不可以單獨授與存取權。這兩者都是必要的。

當使用者嘗試存取使用 SecurID 驗證的規則所控制的網頁時,Forefront TMG 伺服器會代表 Forefront TMG 保護的伺服器 (執行網際網路資訊服務 (IIS)) 來檢查是否有 Cookie。僅在最近驗證過使用者時,這個 Cookie 才會存在,但不會持續存在。如果缺少使用者的 cookie,將提示使用者輸入 SecurID 的使用者名稱及密碼 (Passcode)。密碼 (Passcode) 包括使用者的 PIN 及 Tokencode 組合。Forefront TMG 伺服器上的 RSA Authentication Agent 會將這些認證傳遞給 RSA 驗證管理員電腦,以進行驗證。如果 RSA 驗證管理員已順利驗證認證,就會將 Cookie 傳遞到使用者的瀏覽器,以在工作階段期間進行後續的活動,而且授與使用者存取內容的權限。

請注意下列資訊:

  • 針對 SecurID 委派,Forefront TMG 會產生與 RSA Authentication Agent 5.0 相容的 Cookie。使用 SecurID 委派時,必須設定驗證代理程式電腦來信任這些 Cookie。做法是在驗證代理程式電腦登錄中,新增下列字串值:
    HKLM\Software\SDTI\RSAAgent 下的 Agent50CompatibleCookies

  • 如果在 Forefront TMG 上設定多張網路介面卡,並建立已啟用 RSA SecurID 驗證的網頁接聽程式,則應該明確設定網路介面卡位址,讓 Forefront TMG 在進行驗證時可以透過該位址連線至 RSA 驗證管理員。否則,Forefront TMG 可能會無法執行 SecurID 驗證。請在下列登錄機碼中以字串值格式指定 IP 位址:
    HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP

  • 建議您使用 SSL 來加密用戶端與 Forefront TMG 之間的通訊。

  • 如需其他資訊,請參閱 RSA 驗證管理員 (http://go.microsoft.com/fwlink/?LinkId=180393) (英文)。

相關主題

顯示: