ISA2004 身份验证
我的老大要求我限制一个同事上网,我试了一下ISA身份验证,
在ISA Server的Web代理身份验证方式中,常用的是基本身份验证和Windows集成身份验证这两种。基 本身份验证是工业标准方法,使用Base64 对用户输入的用户账户和密码信息进行编码,然后在线路上传输,如果别人使用Sniffer进行嗅探,那么就可以很轻易的获得你输入的用户账户和密码信息; Windows集成身份验证对用户输入的账户和密码信息在通过网络发送之前经过了Hash处理,用户的浏览器通过与 Web 服务器交换密码(涉及到哈希运算)来证实它识别该密码,所以Windows集成身份验证更为可靠,ISA Server默认也只采用这种方式进行身份验证,并且在两种验证方式同时启用时,也会优先进行Windows集成身份验证,如果不能通过则继续使用基本身 份验证。关于两种方式更详细的说明,可以参见ISA Server 2004的帮助;yss624在“ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性”一文中对这两种验证方式进行了深入的剖析,非常推荐你仔细的看看这篇文章。
在实际使用中,因为基本身份验证方式可以弹出对话框让用户输入身份信息,所以使用频率也很高。在这篇文章中,我们来研究一下ISA Server对Web代理客户进行身份验证后的验证周期。
何谓验证周期?即用户通过验证后可以不需要再次验证就继续进行访问的时间周期。对于Windows集成身份验证,由于总是可以从当前登录Windows 的用户处获得用户账户及密码信息,所以,对于Windows集成身份验证的验证周期是当前用户登录Windows的时间周期;对于基本身份验证,则是通过 用户手动输入用户账户及密码信息,因此,集成身份验证的验证周期是当前通过验证的进程的存活的时间周期。
下面我以实例给大家说 明,用于测试的客户计算机IP为192.168.0.8,配置为Web代理客户,在ISA防火墙的访问规则中只允许了这个IP的 Administrators用户访问外部网络的HTTP协议(建立镜像账号),在内部网络Web代理属性中勾选了Windows集成身份验证和基本身份 验证这两种验证方式:
在客户计算机上以Administrators组用户sctfadmin登录,打开IE,输入ISA中文站的网址,可以正常访问,
在ISA防火墙的会话里面,可以清楚的看到用户是通过了Windows集成身份验证(图片的最后一行);
此时我打开多个IE窗口,或者在多窗口浏览器GreenBrowser中打开多个窗口都是可以正常访问的。
此时就是优先采用的Windows集成身份验证,使用当前用户的用户账户信息和密码的Hash进行匹配,无需手动输入密码。
然后我在内部网络的Web代理属性中,配置只使用基本身份验证方式:
再在客户计算机上打开IE,输入ISA中文站的网址,此时,基本身份验证的提示对话框就弹出来了,要求你输入用户账户和密码来通过Web代理服务器的验证;输入用户名和密码,为了方便我勾选了“记住我的密码”;
顺利通过验证,可以正常的访问网站,我再点击“进入论坛”,弹出的论坛首页就不再需要输入密码进行验证了,因为它是刚才通过验证的IE进程的另外一个窗口。
关闭这两个IE窗口,我再打开一个新的IE窗口,随便输入一个网址,此时,IE又提示你需要验证了,因为刚才我们勾选了“记住我的密码”,所以弹出的窗口中已经包含了刚才通过验证的用户名和密码信息;
关闭IE,现在我们来看看多窗口浏览器。打开GreenBrowser,在地址栏输入ISA中文站的地址,此时,一样要求你输入身份验证信息,和上面的一样,
点击“确定”,通过了身份验证,我们再新建几个窗口试试,此时,也不需要你再次输入身份验证信息了。
我们退出GreenBrowser试试,点击文件菜单下的退出;
再运行GreenBrowser,输入ISA中文站的网址,又要求你进行身份验证了;
点击确定,就可以正常的访问ISA中文站了,
我们再回到ISA防火墙的会话里面看看,是正确验证了用户的。
在ISA Server的Web代理身份验证方式中,常用的是基本身份验证和Windows集成身份验证这两种。基 本身份验证是工业标准方法,使用Base64 对用户输入的用户账户和密码信息进行编码,然后在线路上传输,如果别人使用Sniffer进行嗅探,那么就可以很轻易的获得你输入的用户账户和密码信息; Windows集成身份验证对用户输入的账户和密码信息在通过网络发送之前经过了Hash处理,用户的浏览器通过与 Web 服务器交换密码(涉及到哈希运算)来证实它识别该密码,所以Windows集成身份验证更为可靠,ISA Server默认也只采用这种方式进行身份验证,并且在两种验证方式同时启用时,也会优先进行Windows集成身份验证,如果不能通过则继续使用基本身 份验证。关于两种方式更详细的说明,可以参见ISA Server 2004的帮助;yss624在“ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性”一文中对这两种验证方式进行了深入的剖析,非常推荐你仔细的看看这篇文章。
在实际使用中,因为基本身份验证方式可以弹出对话框让用户输入身份信息,所以使用频率也很高。在这篇文章中,我们来研究一下ISA Server对Web代理客户进行身份验证后的验证周期。
何谓验证周期?即用户通过验证后可以不需要再次验证就继续进行访问的时间周期。对于Windows集成身份验证,由于总是可以从当前登录Windows 的用户处获得用户账户及密码信息,所以,对于Windows集成身份验证的验证周期是当前用户登录Windows的时间周期;对于基本身份验证,则是通过 用户手动输入用户账户及密码信息,因此,集成身份验证的验证周期是当前通过验证的进程的存活的时间周期。
下面我以实例给大家说 明,用于测试的客户计算机IP为192.168.0.8,配置为Web代理客户,在ISA防火墙的访问规则中只允许了这个IP的 Administrators用户访问外部网络的HTTP协议(建立镜像账号),在内部网络Web代理属性中勾选了Windows集成身份验证和基本身份 验证这两种验证方式:
在客户计算机上以Administrators组用户sctfadmin登录,打开IE,输入ISA中文站的网址,可以正常访问,
在ISA防火墙的会话里面,可以清楚的看到用户是通过了Windows集成身份验证(图片的最后一行);
此时我打开多个IE窗口,或者在多窗口浏览器GreenBrowser中打开多个窗口都是可以正常访问的。
此时就是优先采用的Windows集成身份验证,使用当前用户的用户账户信息和密码的Hash进行匹配,无需手动输入密码。
然后我在内部网络的Web代理属性中,配置只使用基本身份验证方式:
再在客户计算机上打开IE,输入ISA中文站的网址,此时,基本身份验证的提示对话框就弹出来了,要求你输入用户账户和密码来通过Web代理服务器的验证;输入用户名和密码,为了方便我勾选了“记住我的密码”;
顺利通过验证,可以正常的访问网站,我再点击“进入论坛”,弹出的论坛首页就不再需要输入密码进行验证了,因为它是刚才通过验证的IE进程的另外一个窗口。
关闭这两个IE窗口,我再打开一个新的IE窗口,随便输入一个网址,此时,IE又提示你需要验证了,因为刚才我们勾选了“记住我的密码”,所以弹出的窗口中已经包含了刚才通过验证的用户名和密码信息;
关闭IE,现在我们来看看多窗口浏览器。打开GreenBrowser,在地址栏输入ISA中文站的地址,此时,一样要求你输入身份验证信息,和上面的一样,
点击“确定”,通过了身份验证,我们再新建几个窗口试试,此时,也不需要你再次输入身份验证信息了。
我们退出GreenBrowser试试,点击文件菜单下的退出;
再运行GreenBrowser,输入ISA中文站的网址,又要求你进行身份验证了;
点击确定,就可以正常的访问ISA中文站了,
我们再回到ISA防火墙的会话里面看看,是正确验证了用户的。