До сих пор компьютерные сети использовали централизованные базы данных учетных записей для управления пользователями, их привилегиями и управления доступом. Эта техника проста и эффективна для малых сетей. Однако в наши дни, когда большие сети с тысячами пользователей в порядке вещей, такой формой централизованного контроля стало трудно управлять. Проблемы такой системы разнообразны - от попытки проверить учетную запись пользователя в базе данных находящейся в Интернете, до управления длинным списком пользователей. Кроме того, распространение Интернета сделало компьютерные сети более подверженными атакам внешних субъектов.
Использование сертификата
Сертификаты открытого ключа предлагают решение, которое делает администрирование большого количества пользователей в крупных сетях гораздо проще, в то же время, снижая риск атаки на идентификаторы / пароли. Эти сертификаты можно широко распространять, они могут выдаваться многими компаниями и их проверка осуществляется, с помощью проверки самого сертификата без обращения к централизованной базе данных.
Сертификаты можно использовать для защищенной связи и проверки подлинности пользователя при взаимодействии клиента и сервера на веб-сайте. Сертификаты позволяют клиентам установить принадлежность сервера, поскольку сервер предоставляет сертификат подлинности сервера с указанием его происхождения. Если вы подключаетесь к веб-сайту, имеющему сертификат сервера, выданный доверяемым центром сертификации, вы можете быть уверены, что сервером действительно управляет лицо или организация, указанная в сертификате. Подобным же образом сертификаты позволяют серверу определить вашу подлинность. Когда вы подключаетесь к веб-сайту, сервер может убедиться в вашей подлинности, получив ваш клиентский сертификат. Сертификат, используемый для проверки подлинности сервера, называется сертификатом сервера и процесс проверки подлинности сервера называется Проверка подлинности сервера . Точно также, сертификат, используемый для проверки подлинности клиента, называется сертификатом клиента и процесс проверки подлинности клиента называется Проверка подлинности клиента .
Например, если веб-сервер хочет ограничить доступ к информации или услугам для определенных пользователей или клиентов, он запрашивает сертификат клиента во время установки безопасного подключения (например, SSL).
В то время как проверка подлинности сервера гарантирует безопасную передачу данных, проверка подлинности клиента улучшает безопасность таких интерактивных транзакций.
Сопоставление сертификатов учетным записям пользователей
Технология открытого ключа предоставила решения многих проблем безопасности крупных сетей. Сертификаты могут использоваться как гарантия подлинности личности и позволяют проверить ее подлинность без использования больших баз данных пользователей и списков учетных записей пользователя и их привилегий доступа.
Однако, существующие операционные системы и административные инструменты приспособлены только для работы с учетными записями пользователей, но не с сертификатами. Самым простым решением для использования всех преимуществ сертификатов и учетных записей пользователей, является создание связи, или сопоставление сертификата и учетной записи. Это позволяет операционной системе продолжать использовать учетные записи, в то время как более крупные системы и пользователи будут использовать сертификаты.
В этой модели, сертификат, выданный пользователю, сопоставляется с его учетной записью в сети. Когда пользователь предоставляет сертификат, система ищет сопоставления и определяет с какой учетной записью он должен войти в систему.
В данном руководстве описываются различные подходы к этому вопросу. Оно описывает способы, при помощи которых IIS и Active Directory могут быть подготовлены для проверки подлинности клиента и использование проверки подлинности клиента с Internet Explorer.
- Если для пункта установлены параметры Проверка подлинности HTTP или Без проверки , в раскрывающемся списке выберите Проверка подлинности SSL-сертификата клиента и щелкните Дополнительно .
- Если для пункта Метод, используемый клиентами при проверке подлинности на Forefront TMG установлен параметр Проверка подлинности на основе HTML-форм , нажмите кнопку Дополнительно . Выберите Требовать SSL-сертификат клиента , только если необходимо, чтобы SSL-сертификат клиента отправлялся в HTTPS-запросе до вывода HTML-формы.
На вкладке Список доверенных сертификатов клиентов выберите один из следующих вариантов.
- Принимать любые сертификаты клиента, являющиеся доверенными для компьютера Forefront TMG . Выберите этот вариант, если необходимо, чтобы в список доступных центров сертификации входили все центры сертификации, корневой сертификат которых установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG.
- Принимать только сертификаты, выпущенные центрами сертификации, указанными ниже . Выберите этот вариант, если необходимо ограничить список центров сертификации, имеющих доверенные сертификаты.
На вкладке Ограничения сертификатов клиентов укажите ограничения для SSL-сертификатов клиентов.
Нажмите кнопку OK , чтобы закрыть страницу Дополнительные параметры проверки подлинности .
На вкладке Сертификаты убедитесь, что выбран SSL-сертификат сервера, и нажмите кнопку OK .
Для проверки подлинности на основе форм на вкладке Трафик выберите Требовать SSL-сертификат клиента .
Нажмите кнопку OK .
В области сведений нажмите кнопку Применить , затем кнопку OK .
В дереве консоли управления Forefront TMG щелкните папку Политика межсетевого экрана .
В области сведений щелкните соответствующее правило веб-публикации.
На вкладке Задачи нажмите кнопку Изменить выбранное правило .
На вкладке Прослушиватель нажмите кнопку Свойства .
Убедитесь, что на вкладке Подключения выбран параметр Включить подключения SSL (HTTPS) для данного порта .
Если необходимо запретить HTTP-соединения, не прошедшие проверку подлинности сертификата клиента, отключите параметр Включить подключения HTTP для данного порта .
На вкладке Проверка подлинности выполните одно из следующих действий.
Примечания
- Сертификат клиента, предъявляемый Forefront TMG, является доверенным, только если корневой сертификат центра сертификации установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG. Дополнительные сведения о проверке подлинности клиента см. в разделе Проверка подлинности для опубликованных ресурсов .
- При публикации через SSL SSL-сертификат сервера, выпущенный для внешнего имени опубликованного веб-узла, должен быть установлен в личном хранилище для локального компьютера на компьютере Forefront TMG. Дополнительные сведения об использовании сертификатов сервера для безопасной веб-публикации см. в разделе Настройка сертификатов сервера для безопасной веб-публикации .
- Когда клиент соединяется через Forefront TMG, список доступных центров сертификации Forefront TMG предоставляется клиенту как часть SSL-подтверждения. Это позволяет клиентскому приложению, например веб-обозревателю, использовать только сертификаты клиентов, выпущенные доверенным центром сертификации.
- Можно ограничить набор сертификатов, которые клиент может отправить Forefront TMG, создав ограничения для SSL-сертификатов клиентов. Таким образом в клиентском приложении можно исключить необходимость отображения списка сертификатов для выбора подходящего сертификата клиента.
Примечание: Наиболее свежую и полную информацию можно получить на узле www.microsoft.com.
Параметры поставщиков проверки подлинности можно настроить при помощи страницы «Поставщики проверки подлинности».
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ Разрешить анонимный доступ .
Примечание:
В разделе Параметры проверки подлинности IIS для выбора проверки подлинности Kerberos или NT LAN Manager (NTLM) установите флажок Встроенная проверка подлинности Windows , а затем выберите один из следующих параметров.
Согласование (Kerberos)
Да
Нет
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
На верхней панели ссылок щелкните Управление приложениями .
На странице «Управление приложениями» в разделе Безопасность приложений щелкните Поставщики проверки подлинности .
На странице «Поставщики проверки подлинности» щелкните имя зоны для требуемого поставщика проверки подлинности.
На странице «Изменение параметров проверки подлинности» в разделе Тип проверки подлинности
Windows
Используется проверка подлинности Windows.
Для использования основной проверки подлинности (пароли отправляются в виде простого текста) установите флажок Простая проверка подлинности (незашифрованный пароль) .
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Формы
Используется проверка подлинности форм.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ для разрешения анонимного доступа ко всем узлам внутри веб-приложения. Для отключения анонимного доступа снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание:
Совет: По желанию можно добавить поставщика контроля членства в файл Web.config для центра администрирования, при помощи которого можно легко управлять пользователями поставщика.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями
Примечание:
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Единый вход
Выберите этот вариант, чтобы использовать единый вход.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ , чтобы разрешить анонимный доступ ко всем сайтам в этом веб-приложении. Чтобы отключить анонимный доступ, снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе Имя поставщика контроля членства , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание: Необходимо правильно настроить поставщика контроля членства в файле Web.config для узла IIS, на котором помещено содержимое SharePoint каждого веб-сервера. Поставщик также должен быть добавлен в файл Web.config для узла IIS, на котором помещен центр администрирования.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями можно ввести имя управляющего.
Примечание: Управляющий должен быть правильно настроен в файле Web.config для данной зоны.
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
