为了配置基于用户的访问规则,须配置ISA需要验证;
在ISA上配置验证依赖于客户端类型和所选的验证方法;
客户端类型:
- securenat: 没有基于用户的身份验证,可以基于网络和访问规则限制访问-->不验证;
- firewall: 使用发请求的用户的凭证做验证,验证过程自动无须客户端配置-->自动验证;
- webproxy: 不自动发送验证信息给ISA,一般地ISA只在处理基于用户元素的访问限制规则时才向客户端请求凭证,可以配置客户端和服务器使用什么方法做验证,也可配置ISA对所有的WEB请求都要求验证-->规则验证;
ISA支持的验证方法:
(1)基本身份验证/Basic Authentication:
- 在允许用户WEB访问前弹出用户名和密码框;
- 不使用加密,以明文发送和接收用户信息;
- 不是一个安全的验证方法,除非网络流量以SSL加密;
- 是HTTP协议的一部分,被大多数浏览器支持;
(2)摘要式身份验证/Digest Authentication;
- 通过一个叫hashing的进程传递验证凭据,hashing基于密码创建一串字符串而不在网络上传递实际密码;
- 只在DC都在2000或2003以上,IE在5以上的域环境中使用;
- 只在AD中存储了可逆加密的用户密码副本时可用;
- 不是默认配置,须启用;
- 新版本WDigest也被支持;
- WDigest不要求密码以可逆加密存储;
- WDigest须2003上的ISA才支持;
- 当ISA与域都是2003以上时,WDigest是默认的验证方法;
(3)集成Windows身份验证/Integrated Windwos Authentication:
- 使用kerberos v5或者NTLM协议;
- 不在网上发送用户名和密码;
- 须IE2.0以上支持;
- 当所有客户端都使用IE时使用;
- 是2000和2003家族和默认验证方法;
(4)数字证书验证/Digital certificates authentication:
- 在请求被处理前要求客户端证书;
- 用户从内部CA或受信任外部CA获取证书;
- 客户端证书一般会包含识别用户和组织的信息;
- 当组织要求用户使用证书验证时使用;
- webproxy客户端不支持证书验证,但该验证选项可用于web chaining;
(5)RADIUS验证:
- 工业标准验证协议;
- RADIUS客户端(e:拨入服务器,×××服务器,WAP etc.)以RADIUS消息格式发送用户凭证和连接参数信息给RADIUS服务器;
- 服务器验证请求并发送响应;
- 一般用于从Internet访问内部资源时提供验证;
(6)RSA SecureID authentication:
- ISA2004支持使用RSA security.Inc公司的RSA SecureID产品提供的验证凭证来验证用户;
- SecureID产品强制要求用户访问受保护资源前要有两种验证因素:一是用户所知道的信息(e: PIN),二是用户所拥有的设备(e: token令牌),两都都必须以完成验证;
- 一般也用于从外部访问内部资源时做验证;
内到外的验证 默认一般用集成验证,后两种一般用于外到内的验证;
