Benutzerauthentifizierung bei ausgehenden Webanfragen
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
In vielen verschiedenen Situationen ist es erforderlich, dass für ausgehende Webanfragen (also Anfragen über http, https und ftp) eine Zugriffskontrolle auf Benutzerebene erfolgen kann. Der ISA Server kann grundsätzlich bei allen Zugriffsarten Regeln pro IP-Adresse oder pro Benutzer freigeben. Standardmäßig ist keine Benutzerauthentifizierung aktiviert.
Benutzerauthentifizierung kann an mehreren Stellen verwendet werden. Sobald der Firewallclient installiert ist, können für alle nicht-Web-Protokolle benutzerabhängige Zulassungsregeln erstellt werden. Somit kann z.B. erreicht werden, dass für Benutzer Cornelia von jedem Rechner aus ausgehende SMTP Anfragen erlaubt sind. Ohne den Firewallclient würde dies nur über Clientadresssätze und somit nur basierend auf einer oder mehreren IP-Adresse möglich sein.
Damit auch für die Webprotokolle http, https und ftp eine Benutzerauthentifizierung möglich wird, muss der Webproxyclient verwendet werden. Sowohl der Firewallclient als auch der SecureNAT-Client scheitern am HTTP Redirector. Zuvor muss natürlich der ISA Server für die Benutzerauthentifizierung konfiguriert werden. Dies geschieht in den Eigenschaften des Servers:
Nach einer Änderung am Webabhörer muss der Webproxydienst neu gestartet werden; ein entsprechendes Hinweisfenster erscheint.
Im Idealfall war das alles, was konfiguriert werden muss. Nun kann in einer Regel, die eines der Webprotokolle zulässt oder aber in einer Site- und Inhaltsregel unter "Anwendung" die Regel auf Benutzer oder Gruppen eingeschränkt werden.
Je nach vorhandener Netzwerkumgebung muss jedoch die Authentifizierungsmethode angepasst werden. Dies ist zum Beispiel der Fall wenn als Webbrowser nicht der Microsoft Internet Explorer (ab 5.x) verwendet wird. Die anderen Browser unterstützen nämlich die Integrierte Authentifizierung nicht.
Hier eine kurze Zusammenstellung der vier angebotenen Authentifizierungsmethoden (Auszug aus der Online-Hilfe):
- Standardauthentifizierung
HTTP verwendet als Standardauthentifizierungsmethode die Standardauthentifizierung. Die Standardauthentifizierung sendet und empfängt Benutzerinformationen als leicht lesbare Textzeichen. Während Kennwörter und Benutzernamen verschlüsselt werden, wird bei der Standardauthentifizierung keine Verschlüsselung verwendet. Im Folgenden wird das Authentifizierungsverfahren bei der Standardauthentifizierung beschrieben:- Der Client fordert den Benutzer auf, Benutzername und Kennwortinformationen einzugeben.
- Die Anmeldeinformationen werden anschließend vom Client verschlüsselt und an den Server gesendet.
- Für den Benutzernamen wird das Vorhandensein eines Kontos auf dem
Microsoft Internet Security & Acceleration Server-Computer (ISA Server)
oder in einer vertrauten Domäne des ISA Servers überprüft.
- Digestauthentifizierung
Die Digestauthentifizierung bietet dieselben Funktionen wie die Standardauthentifizierung, die Authentifizierungsinformationen werden jedoch auf andere Weise übertragen. Die Authentifizierungsinformationen durchlaufen einen Einwegprozess, der oft als Hashprozess bezeichnet wird. Das Ergebnis dieses Prozesses wird Hashwert oder Nachrichten-Hash genannt. Es kann nicht entschlüsselt werden, d. h. der ursprüngliche Text kann nicht aus dem Hashwert entziffert werden.
Vor dem Hashprozess werden zusätzliche Informationen zum Kennwort hinzugefügt, sodass niemand den Kennworthashwert erfassen und zur Nachahmung des echten Benutzers verwenden kann. Es werden Werte hinzugefügt, die bei der Identifizierung des Benutzers, des Computers und der dazugehörigen Domäne helfen. Um zu verhindern, dass ein widerrufenes Kennwort verwendet wird, wird hier eine Zeitmarkierung hinzugefügt. Dies ist ein deutlicher Vorteil gegenüber der Standardauthentifizierung, da das Kennwort nicht abgefangen und von einer unberechtigten Person verwendet werden kann.
Die Digestauthentifizierung kann nur in Windows 2000-Domänen verwendet werden.
- Integrierte Windows-Authentifizierung
Die integrierte Windows-Authentifizierung ist eine sichere Form zur Benutzerauthentifizierung, da der Benutzername und das Kennwort nicht über das Netzwerk gesendet werden. Die integrierte Windows-Authentifizierung kann entweder das Kerberos V5-Authentifizierungprotokoll oder das eigene Herausforderung/Rückmeldung-Authentifizierungsprotokoll verwenden.
- Clientzertifikate und Serverzertifikate
Sie können die Secure Sockets Layer (SSL)-Sicherheitsfunktionen zur Authentifizierung verwenden. Wenn ein Client ein Objekt von einem Server anfordert, gibt es zwei Möglichkeiten zur Zertifizierung:- Der Server authentifiziert sich selbst, indem er ein Serverzertifikat an den Client sendet.
- Der Server fordert den Client auf, sich zu authentifizieren. In diesem Fall muss der Client dem Server ein geeignetes Clientzertifikat präsentieren.
SSL führt die Authentifizierung durch, indem während des Anmeldeprozesses der Inhalt einer verschlüsselten digitalen Identifikation vom Webbrowser des Benutzers überprüft wird. (Die Benutzer erhalten ihre Clientzertifikate von einer externen Organisation, der beide vertrauen.) Die Serverzertifikate enthalten identifizierende Informationen über den Server. In den Clientzertifikaten sind normalerweise identifizierende Informationen über den Benutzer und die Organisation, von der das Zertifikat ausgestellt wurde, enthalten.
Stand: Friday, 28. August 2009/DR.
