Windows - Hitelesítés az ISA szerverben

ISA szerver 5. rész

Az ISA szerverben megadhatjuk, hogy a különféle házirendi szabályok mellett hitelesítés is szükséges legyen a tartalom hozzáféréshez – akár a külső, akár a belső felhasználók esetében. A sorozat jelenlegi részében bemutatjuk a hitelesítéssel kapcsolatos tudnivalókat.
A hozzáférési házirend és a publikációs szabályok az ISA szerverben beállíthatók úgy, hogy engedélyezzék, vagy korlátozzák egy gépcsoportnak (kliens címkészlet) vagy egy felhasználói csoportnak egy meghatározott szerver elérését. Ha a szabály közvetlenül a felhasználókra vonatkozik, akkor az ISA szerver ellenőrzi a Web-kérés tulajdonságokat a felhasználói készlet hallgatói esetében, hogy meghatározza a felhasználó hitelesíthetőségét.
Beállíthatunk bejövő és kimenő Web-kérés beállításokat, így azokat a felhasználókat az ISA-nak mindig kötelezően hitelesítenie kell, mielőtt feldolgozná a szabályokat. Ez biztosítja, hogy a kérések csak akkor engedélyezettek, ha a felhasználó hitelesített kéréssel érkezik.
Az alábbi három témával foglalkozunk cikkünkben:
  • Hitelesítési módszerek
  • Szabályok és hitelesítés
  • ISA szerver és a Secure Sockets Layer
Hitelesítési módszerek
Lehetőségünk van beállítani, hogy melyik hitelesítési módszert használjuk. Beállíthatunk különféle hitelesítést a bejövő és a kimenő kérésekhez.
Az ISA szerver az alábbi hitelesítési módszereket támogatja: Basic hitelesítés, Digest hitelesítés, Integrált Windows hitelesítés és klienstanúsítványok, valamint szervertanúsítványok.
Az Internet Explorer 5-ös valamennyi hitelesítést támogatja. Más Web-böngészők lehet, hogy csak a Basic hitelesítést képesek alkalmazni. Bizonyosodjunk meg arról, hogy a kliens Web-böngészők legalább egyik hitelesítési módszert képesek használni, amelyet megadunk a csoport bejövő és kimenő Web-kéréseinek tulajdonságaiban, egyébként a kliens nem lesz képes elérni a kért objektumot.
Szabályok és hitelesítés
Amikor egy tűzfal-kliens olyan tartalmat kér, amely nem HTTP, akkor az ISA szerver meghatározza, hogy bármely beállított szabály vonatkozik-e a felhasználóra vagy csoportra. Ha igen, akkor az ISA szervernek szükséges, hogy a kliens hitelesítse magát, így az ISA szerver képes meghatározni, hogy a kliens kérheti-e az objektumot, ha egy szabály érvényesül.
Amikor egy Web proxy, vagy tűzfal-kliens HTTP tartalmat kér, az ISA szerver ellenőrzi a szabályokat, hogy megállapítsa azt, hogy egy adott szabály engedélyezi-e az anonymous felhasználói hozzáférést (akár azért, mivel ez minden felhasználót érint, vagy azért, mert a kliens címkészletére vonatkozik, amely tartalmazza a kliens IP címét). Ha így történik, akkor a kérés engedélyezett. Egyébként, ha nincs definiált szabály az anonymous hozzáférésre, az ISA számára szükséges, hogy a felhasználó hitelesítse magát, hogy meg tudja határozni, hogy a hitelesített felhasználóra vonatkozik-e szabály.
Más szavakkal, amikor egy kliens HTTP tartalmat kér, a hitelesítési információ nem kerül átküldésre az ISA szervernek, hacsak az ISA szerver nem kéri. Ez akkor történik, amikor a Web proxy szolgáltatásnak azonosítania kell a felhasználót, hogy engedélyezze a kérést.
Beállíthatjuk az ISA szervert, hogy mindig hitelesítést követeljen meg a Web-kérésekhez, a FPCWebRequestConfiguration.AlwaysAuthenticate tulajdonságot használva.
Tűzfal-klienseknél a HTTP kérések átkerülnek a HTTP továbbítóhoz, ha a szűrő konfigurálva van és bekapcsolt. Ebben az esetben a tűzfal kliensének hitelesítési információja nem kerül át a Web proxy szolgáltatáshoz és az ISA úgy kezeli a kérést, mintha hitelesítetlen felhasználótól származna. Ha az ISA szerver nem tudja átküldeni a kérést a hitelesítés nélküli felhasználótól, akkor a kérés tiltott lesz, mivel az ISA nem fog hitelesítést kérni.
Hitelesítési példa
Képzeljük el, hogy az ISA szervert az alábbi szabályokkal konfiguráljuk:
  • Egy protokollszabály, amely mindenkinek minden protokollt engedélyez.
  • Egy oldal- és tartalomszabály, amely mindenkinek minden oldalhoz hozzáférést enged.
  • Egy oldal- és tartalomszabály, amely tiltja a Kovacs nevű felhasználó hozzáférését.
Az első két szabály elérhetőséget biztosít a névtelen felhasználóknak minden kérésre. A harmadik szabály alapján, ha Kovacs azonosítja magát, akkor visszautasítottak a kérései. Például tekintsük az alábbi helyzeteket:
  • Kovács gépére tűzfal-kliens van telepítve. Kovács nem HTTP tartalom-kérést kezdeményez. Kovács kérése visszautasított, mivel az ISA szervernek hitelesítés szükséges, így a harmadik szabály lép életbe.
  • Kovács gépe Web proxy kliensként van beállítva. Kovács HTTP tartalmat kér, és a kérés engedélyezett, mert az ISA nem kér hitelesítést, így a harmadik szabály kimarad.
  • Kovács gépére tűzfal-kliens van telepítve. Kovács HTTP tartalmat kér, és a kérés engedélyezett, mert az ISA nem kér hitelesítést, így a harmadik szabály itt is kimarad.
Ahhoz, hogy a harmadik szabályt érvényesítsük minden Web kérésre, állítsuk be a tömb opciót, hogy kérjen hitelesítést a névtelen felhasználóktól. Kovács kérései ezek után minden esetben tiltottak.
ISA szerver és a Secure Sockets Layer
Az ISA szerverben használni tudjuk az SSL biztonsági tulajdonságokat hitelesítéshez. Az igazolás kétféle úton lehetséges, amikor egy kliens objektumot kér a szerverről:
  • A szerver hitelesíti önmagát, elküldve egy szerver-tanúsítványt a kliensnek.
  • A szerver kéri a klienstől, hogy hitelesítse magát. Ebben az esetben a kliensnek be kell mutatnia a szükséges kliens-tanúsítványt a szervernek.
Az SSL hitelesít, ellenőrizve a titkosított digitális azonosító tartalmát, amelyet a felhasználó böngészője küldött a belépési folyamat során. A szerver-tanúsítvány a szerverről tartalmaz azonosító információkat. A kliens-tanúsítványnak általában a felhasználóról és a tanúsítványt kapott szervezetről kell információkat tartalmaznia. A felhasználók kliens-tanúsítványt egy megbízott külső szervezettől kaphatnak.
Kliens-tanúsítvány
Ha a kliens-tanúsítvány kiválasztotta a hitelesítési módszert, akkor az ISA kér egy kliens-tanúsítványt, mielőtt engedélyezné a hozzáférést.
Az ISA szerver-gép fogadja a kérést, és elküldi a szerver-tanúsítványt a kliensnek. Az ISA szerver-gép ezután azonosítja magát, mint SSL Web szerver. A kliens megkapja a tanúsítványt és ellenőrzi, hogy a tanúsítvány valóban megfelel-e az ISA szerver-gépnek.
A kliens ezután újraküldi a kérést az ISA szerver-gépnek. Ellenben az ISA szerver-gépnek szükséges a tanúsítvány a klienstől, amelyet az előzőekben kiadott. Az ISA szerver-gép ellenőrzi, hogy a kliens a tanúsítványnak megfelel-e, hogy engedélyezze a hozzáférést.
A klienshitelesítés telepíthető a Microsoft Web Proxy Service hitelesítés-tárolóba az ISA szerver-gépen. A hitelesítés a megfelelő felhasználói azonosítóhoz lesz kapcsolva.
Az ISA szerver klienshitelesítést csak SSL hidas környezetben képes bemutatni.
Szerverhitelesítés
Amikor egy kliens SSL objektumot kér egy szervertől, azt kéri, hogy a szerver hitelesítse magát. Ha az ISA szerver leállít egy SSL kapcsolatot, akkor az ISA szervernek kell hitelesítenie magát a kliensnél. Be kell állítanunk egy szerver-oldali tanúsítványt, hogy használni tudjuk, amikor az ISA szerver hitelesíti magát a kliensnél.
A szerver-tanúsítvány a helyi gép tanúsítvány-tárolójába telepíthető az ISA szerver-gépen. A tanúsítvány nevének azonosnak kell lennie az ISA szerver nevével (a kimenő Web-kérésekhez) vagy a publikált Web-szerver nevével (a bejövő Web-kérésekhez).

ISA szerver cikksorozat