關於驗證方法

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題提供 Forefront TMG 所使用的驗證方法概觀。這些驗證機制包括:

如需每一種使用方法的案例摘要,請參閱 Forefront TMG 中的驗證概觀

HTTP 驗證

Forefront TMG 支援下列類型的 HTTP 驗證:

基本驗證

基本驗證是廣泛用來收集使用者名稱及密碼資訊的方法。基本驗證會以可讀取的文字字元格式傳送及接收使用者資訊。雖然密碼及使用者名稱已編碼,但是基本驗證並不會使用加密。

下列步驟簡述使用基本驗證來驗證用戶端的方式:

  1. 提示使用者輸入 Windows 帳戶使用者名稱及密碼。

  2. Forefront TMG 會接收具有認證的 HTTP 要求,並向指定的驗證伺服器 (RADIUS 或 Active Directory 網域服務 (AD DS),僅針對連入要求的 LDAP 伺服器) 驗證認證。

  3. 如果是輸出網頁 Proxy 要求,則 Forefront TMG 會驗證認證,然後評估存取規則。如果是連入要求,則 Forefront TMG 會根據設定的委派方法,使用認證向發行的網頁伺服器進行驗證。網頁伺服器必須設定成使用與 Forefront TMG 所使用委派方法相符的驗證配置。純文字密碼會先以 Base64 編碼,再透過網路送出,但是這並非加密。如果網路竊聽者在網路上攔截到密碼,則未經授權的使用者就可以解碼並重新使用密碼。

基本驗證的優點是幾乎所有 HTTP 用戶端都支援該驗證方法。壞處是使用基本驗證的網頁瀏覽器會以未加密的形式傳輸密碼。攻擊者或惡意使用者監視您網路上的通訊,就可以使用隨手可得的工具來攔截及解碼這些密碼。因此,除非您確信連線安全 (例如使用專線或 SSL 連線),否則不建議使用基本驗證。

摘要及 WDigest 驗證

摘要驗證提供的功能與基本驗證相同,但在傳輸驗證認證時較為安全。

摘要驗證需要使用 RFC 2617 (http://go.microsoft.com/fwlink/?LinkId=160622) 所定義的 HTTP 1.1 通訊協定。並非所有瀏覽器皆支援此功能。如果非 HTTP 1.1 相容瀏覽器在啟用摘要驗證時要求檔案,則要求會遭到拒絕。摘要驗證只能在 Windows 網域中使用。

只有在網域控制站具有提出要求之使用者密碼的可回復加密 (純文字) 複本 (儲存在 AD DS 中) 時,才能夠完成摘要驗證。若要允許以純文字儲存密碼,則必須在 AD DS 中使用者之 [帳戶] 索引標籤上啟動 [使用可還原的加密來存放密碼] 設定。也可以設定群組原則來啟用這個功能。在進行這項設定之後,您需要設定新密碼來啟用此功能,因為已無法判定舊密碼。

WDigest 是新形式的摘要驗證,用於在 Windows Server 2008 網域中安裝 Forefront TMG 時。WDigest 並不需要在 AD DS 中儲存可還原加密的使用者密碼複本。

摘要及 WDigest 驗證的運作方式如下:

  1. 用戶端提出要求。

  2. Forefront TMG 會拒絕要求,並提示用戶端輸入 Windows 帳戶使用者名稱及密碼。請注意,使用 WDigest 時,使用者名稱及網域名稱會區分大小寫,而且必須與它們出現在 AD DS 中的名稱完全相同。此外,WDigest 需要 URL 路徑之資源部分的值。例如,使用者要求 http://host.domain.tld 時,因為 URL 資源遺失,所以要求失敗。

  3. 驗證認證會通過稱為「雜湊」的單向程序。結果是加密過的雜湊或訊息摘要。然後會加入這些值,以識別使用者、使用者電腦及網域。也會新增時間戳記來防止使用者在密碼撤銷之後還繼續使用。因為這種方法使得未經授權的人較難攔截或使用密碼,所以明顯優於基本驗證。

整合式 Windows 驗證

整合式 Windows 驗證會使用 NTLM、Kerberos 及交涉驗證機制。因為使用者名稱及密碼在透過網路送出之前會先進行雜湊處理,所以這些是較安全的驗證形式。當您啟用 NTLM、Kerberos 或交涉驗證時,使用者的瀏覽器會透過與您 Forefront TMG 伺服器的密碼編譯交換 (涉及雜湊) 來證明它可以辨識密碼。

下列步驟概述使用整合式 Windows 驗證來驗證用戶端的方式:

  1. 根據瀏覽器設定,驗證一開始可能不會提示您輸入使用者名稱及密碼。如果驗證交換一開始無法識別使用者,則瀏覽器會提示使用者輸入 Windows 帳戶使用者名稱及密碼,它會使用整合式 Windows 驗證來處理它們。網頁瀏覽器會繼續提示使用者,直到使用者輸入有效的使用者名稱和密碼,或是關閉提示對話方塊。使用者名稱必須以下列格式輸入:domain\username

  2. 如果驗證交換一開始無法識別使用者,則瀏覽器會提示使用者輸入 Windows 帳戶使用者名稱及密碼,它會使用整合式 Windows 驗證來處理它們。

  3. 在使用者輸入有效的使用者名稱及密碼或關閉提示對話方塊之前,Forefront TMG 會持續提示使用者。

note附註:
  • 每當需要 NTLM 驗證時,Forefront TMG 就會與 AD DS 伺服器通訊。基於這個理由,建議您為 AD DS 和 Forefront TMG 建立一個保護網路,來防止使用者 (包括外部及內部) 存取通訊。

  • 因為外部連線的驗證會使用 NTLM 驗證,所以建議您使用 SSL 來加密 Forefront TMG 與用戶端之間的流量。NTLM 驗證是針對每個連線,而且加密可防止網際網路上的舊 Proxy 裝置不當地重複使用連線。

表單型驗證

Forefront TMG 中的表單型驗證可以用來驗證已發行網頁伺服器的連入要求。

表單型驗證有三種類型:

  • 密碼 (Password) 表單:使用者在表單上輸入使用者名稱及密碼 (Password)。這是 AD DS、LDAP 及 RADIUS 認證驗證需要的認證類型。

  • 密碼 (Passcode) 表單:使用者在表單上輸入使用者名稱及密碼 (Passcode)。這是 SecurID 及 RADIUS 單次密碼驗證需要的認證類型。

  • 密碼 (Passcode)/密碼 (Password) 表單:使用者輸入使用者名稱與密碼 (Passcode) 以及使用者名稱與密碼 (Password)。使用 SecurID 或 RADIUS 單次密碼 (Password) 驗證方法,會使用使用者名稱及密碼 (Passcode) 向 Forefront TMG 進行驗證,而使用者名稱及密碼 (Password) 則是用於委派。

用戶端憑證驗證

用戶端憑證驗證不支援用於驗證輸出網頁要求。

如果是已發行資源的連入要求,則要求用戶端憑證有助於提高已發行伺服器的安全性。使用者可以從商業憑證授權單位 (CA) 或組織中的內部 CA 取得用戶端憑證。憑證也可能是內嵌於智慧卡中的憑證,或行動式裝置所使用的憑證,以連線至 Microsoft ActiveSync。

憑證必須與使用者帳戶相符。使用者要求已發行的資源時,傳送給 Forefront TMG 的用戶端憑證會傳遞至網域控制站,用以判定憑證與帳戶之間的對應。Forefront TMG 必須是網域成員。此資訊則會傳回給 Forefront TMG,以套用相關的防火牆原則規則。請注意,Forefront TMG 無法將用戶端憑證傳遞給內部網頁伺服器。

相關主題

顯示: