用户登陆
最新评论
文章搜索
ISA Server 2006中的身份验证ISA Server 2006中的身份验证
本文内容为Microsoft? Internet Security and Acceleration (ISA) Server 2006如何管理身份验证。内容涉及ISA所支持的身份验证和方式等信息以及如何处理身份验证。 文档内容概括:
· 新的身份验证特性。
· 描述ISA Server 2006中可用的身份验证处理和验证选项。
· 身份验证集合总结表。
最新信息
ISA Server 2006提供下列新的身份验证:
· 单点登陆(SSO)。用户经过 ISA Server一次身份验证后不需要重新验证便可以访问任何ISA Server 后端的服务器。
· 采用基于表单和客户端证书的双因素身份验证。
· 基于表单的身份验证支持发布任何Web服务器。
· 可自定义的基于表单验证的表单和用于移动客户端的表单,使用每用户代理的验证机制。
· 用于非浏览器客户端的从基于表单的验证回滚到基本身份验证。
· 使用NTLM或Kerberos验证进行凭据委派。
· Kerberos限制的委派。
· 凭据缓存。
· 密码管理,借此ISA Server可以检查用户帐户的状态并把状态报告给用户。该功能可以配置为让用户可以修改密码。
· SSL客户端证书限制。
· 具备分配不同的数字证书给每个网络适配器上的IP地址的功能。
· 基于表单验证的新类型: 用户名验证码/密码,在此验证码用于ISA Server验证而密码用于验证委派。
· 使用LDAP支持Active Directory?目录服务验证,当ISA Server在工作组环境中或在没有包含用户帐户的森林中时允许Active Directory验证。ISA Server也支持多播配置,这样用户可以在一组不同的LDAP服务器上进行验证 。
· 单次密码支持远程验证拨入用户服务(RADIUS)。在ISA Server 2004中,该支持仅为RSA SecureID提供。
· 默认阻止验证委派。
单点登陆
当点登陆实现用户经过ISA Server一次验证后,可以访问所有ISA在指定侦听器上发布的带有相同后缀名的Web服务器,无需经过重复验证。Web服务器指的是Microsoft Outlook? Web Access服务器和运行Microsoft Office SharePoint? Portal Server 2003的服务器,以及运行IIS的标准服务器。
单点登陆的典型例子就是登录到OWA的用户提供表单凭据。用所户接收的电子邮件消息可能是连接到存储在SharePoint Portal服务器上文档的链接。用户点击链接,打开文档,并不需要额外的验证请求。这个例子依赖于持续的cookies,见ISA Server帮助。
安全注意项
· 只要用户的浏览器程序仍在运行,表明用户处于登录状态。比如,一位用户登录到OWA。在 IE菜单上,用户打开新的浏览器窗口并转链接到另外一个站点。 关闭OWA窗口并不会关闭会话,而用户仍处于登陆状态。
· 启用单点登陆后,必须提供指定的单点登陆域。提供一个未经注册的域名,比如.co.uk,会导致Web浏览器发送ISA Server单点登陆cookie到该域中的任意Web站点,带来安全风险。
· 在你使用基于表单验证和RSA SecureID创建Web侦听器并启用表单中收集附加委派凭据的场景中,不论用户给凭据输入的是名还是不同的名称ISA Server不会激活。
注意:
在不同的Web侦听器之间不提供单点登陆支持。发布的服务器必须共用同一个域名系统后缀。比如,可以在发布mail.fabrikam.com和team.fabrikam.com时配置单点登陆,而在发布mail.fabrikam.com和 mail.contoso.com时就不可以配置单点登陆。DNS后缀名包括了紧跟第一个点的整个字符串。比如在mail.detroit.contoso.com和 mail.cleverland.contoso.com两者之间配置单点登陆时,就应该使用DNS后缀名。
双因素验证
双因素验证安全性较高,因为它要求用户满足两种验证标准:一个用户名/密码连同令牌环或者证书,就好比你拥有的即是你所知道的。在下列场景中,ISA Server 支持双因素身份验证:
· 用户拥有证书。
· 用户拥有SecurID令牌环提供验证码。
· 用户拥有单次密码令牌环提供验证码。
带证书的双因素验证的典型例子就是Smart Card的使用。Smart Card包含了证书,ISA可以在包含用户和证书信息的服务器上验证。按照把用户信息(用户名和密码)及所提供的证书做比较的方式,服务器进行凭据的验证,而ISA进行用户的验证。
重点:
部署在工作组的ISA Server不支持使用客户端证书的双因素验证。
[上一页] [1] [2] [3] [4] [下一页]
本文内容为Microsoft? Internet Security and Acceleration (ISA) Server 2006如何管理身份验证。内容涉及ISA所支持的身份验证和方式等信息以及如何处理身份验证。 文档内容概括:
· 新的身份验证特性。
· 描述ISA Server 2006中可用的身份验证处理和验证选项。
· 身份验证集合总结表。
最新信息
ISA Server 2006提供下列新的身份验证:
· 单点登陆(SSO)。用户经过 ISA Server一次身份验证后不需要重新验证便可以访问任何ISA Server 后端的服务器。
· 采用基于表单和客户端证书的双因素身份验证。
· 基于表单的身份验证支持发布任何Web服务器。
· 可自定义的基于表单验证的表单和用于移动客户端的表单,使用每用户代理的验证机制。
· 用于非浏览器客户端的从基于表单的验证回滚到基本身份验证。
· 使用NTLM或Kerberos验证进行凭据委派。
· Kerberos限制的委派。
· 凭据缓存。
· 密码管理,借此ISA Server可以检查用户帐户的状态并把状态报告给用户。该功能可以配置为让用户可以修改密码。
· SSL客户端证书限制。
· 具备分配不同的数字证书给每个网络适配器上的IP地址的功能。
· 基于表单验证的新类型: 用户名验证码/密码,在此验证码用于ISA Server验证而密码用于验证委派。
· 使用LDAP支持Active Directory?目录服务验证,当ISA Server在工作组环境中或在没有包含用户帐户的森林中时允许Active Directory验证。ISA Server也支持多播配置,这样用户可以在一组不同的LDAP服务器上进行验证 。
· 单次密码支持远程验证拨入用户服务(RADIUS)。在ISA Server 2004中,该支持仅为RSA SecureID提供。
· 默认阻止验证委派。
单点登陆
当点登陆实现用户经过ISA Server一次验证后,可以访问所有ISA在指定侦听器上发布的带有相同后缀名的Web服务器,无需经过重复验证。Web服务器指的是Microsoft Outlook? Web Access服务器和运行Microsoft Office SharePoint? Portal Server 2003的服务器,以及运行IIS的标准服务器。
单点登陆的典型例子就是登录到OWA的用户提供表单凭据。用所户接收的电子邮件消息可能是连接到存储在SharePoint Portal服务器上文档的链接。用户点击链接,打开文档,并不需要额外的验证请求。这个例子依赖于持续的cookies,见ISA Server帮助。
安全注意项
· 只要用户的浏览器程序仍在运行,表明用户处于登录状态。比如,一位用户登录到OWA。在 IE菜单上,用户打开新的浏览器窗口并转链接到另外一个站点。 关闭OWA窗口并不会关闭会话,而用户仍处于登陆状态。
· 启用单点登陆后,必须提供指定的单点登陆域。提供一个未经注册的域名,比如.co.uk,会导致Web浏览器发送ISA Server单点登陆cookie到该域中的任意Web站点,带来安全风险。
· 在你使用基于表单验证和RSA SecureID创建Web侦听器并启用表单中收集附加委派凭据的场景中,不论用户给凭据输入的是名还是不同的名称ISA Server不会激活。
注意:
在不同的Web侦听器之间不提供单点登陆支持。发布的服务器必须共用同一个域名系统后缀。比如,可以在发布mail.fabrikam.com和team.fabrikam.com时配置单点登陆,而在发布mail.fabrikam.com和 mail.contoso.com时就不可以配置单点登陆。DNS后缀名包括了紧跟第一个点的整个字符串。比如在mail.detroit.contoso.com和 mail.cleverland.contoso.com两者之间配置单点登陆时,就应该使用DNS后缀名。
双因素验证
双因素验证安全性较高,因为它要求用户满足两种验证标准:一个用户名/密码连同令牌环或者证书,就好比你拥有的即是你所知道的。在下列场景中,ISA Server 支持双因素身份验证:
· 用户拥有证书。
· 用户拥有SecurID令牌环提供验证码。
· 用户拥有单次密码令牌环提供验证码。
带证书的双因素验证的典型例子就是Smart Card的使用。Smart Card包含了证书,ISA可以在包含用户和证书信息的服务器上验证。按照把用户信息(用户名和密码)及所提供的证书做比较的方式,服务器进行凭据的验证,而ISA进行用户的验证。
重点:
部署在工作组的ISA Server不支持使用客户端证书的双因素验证。
[上一页] [1] [2] [3] [4] [下一页]
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=1205
http://www.pxue.com/trackback.asp?tbID=1205&CP=GBK