U mnogo slučajeva, mrežni resursi koji su objavljeni Web ili Server pravilima objavljivanja (publishing rules) su poverljivi i treba da budu dostupni samo autorizovanim korisnicima. Da bi ovo sproveli, administratori mogu da konfigurišu ISA Server 2004 da traži autentifikaciju za sve korisnike koji pristupaju objavljenim resursima. Ova lekcija opisuje tipove autentifikacije koje podržava ISA Server 2004 i kako se konfiguriše autentifikacija.

Kako autentifikacija i web pravila objavljivanja rade zajedno

Autentifikacija i integrisani deo svake Firewall polise. Možemo da ograničimo pristup internim resursima ograničavanjem pristupa na osnovu IP adrese kompjutera. Ipak, u većini slučajeva, mnogo je efektnije da damo pristup samo određenim korisnicima koji su se prethodno autentifikovali.

Autentikcija i web pravila objavljivanja rade zajedno na sledeće načine:

• Korisnici dobijaju pristup za interne resurse koje štiti ISA Server samo ako pravilo pristupa ili objavljeno pravilo dodeljuje pristup resursu. Kada kreiramo pravilo objavljivanja, možemo da ograničimo koji korisnici mogu da pristupe resursima koristeći to pravilo. Kada god je pravilo konfigurisano da dodeli pristup određenom setu korisnika koji se razlikuje od All users seta, autentifikacija postaje važan deo svakog pravila.
• Za Web objavljena pravila i Secure Web pravila, moramo da konfigurišemo Web Listenere (osluškivače) kao deo definicije pravila. Web osluškivači definišu koji autentikacioni metod je omogućen. Možemo da konfigurišemo Web osluškivače da koriste više od jednog autentikacionog mehanizma. Ovi autentikacioni mehanizmi mogu da se koriste simultano na web osluškivaču: Basic, Digest, Integrated i Client Certificate Authentification. Kada čekiramo RADIUS, SecureID ili form-based autentikacione metode moraju biti jedini autentikacioni metodi koji su konfigurisani.
• Kada ISA Server primi zahtev za interni resurs, on procesira Firewall pravila polisa po redu. Kada Firewall pravilo odgovara klijentskom zahtevu, ali ISA Server zahteva klijentsku autentifikaciju, ISA Server će zahtevati da se klijent autentifikuje. Drugim rečima, ako Firewall pravilo ograničava pristup grupi korisnika koja nije All Users grupa onda korisnik mora da upiše svoje podatke da bi dokazao svoj identitet.

Važno je da po default-u, web pravila objavljivanja i Secure Web pravila dodeljuju pristup All Users grupi, koja uključuje anonimne i neautorizovane korisnike. Da bi sprečili i ograničili pristup web pravilu objavljivanja, uklonite All User korisnički set i dodajte All Authenticated Users ili specifični set korisnika.

ISA Server Web Publishing autentifikaciona scenarija

Kada dizajniramo autentikacione strategije za ISA Server Web publishing ili Secure Web publishing, imamo nekoliko opcija. Možemo da konfigurišemo ISA Server da odrađuje autentifikaciju, ili možemo da konfigurišemo objavljeni server da odrađuje autentifikaciju. U nekim slučajevima, možda ćemo želeti da zahtevamo autentifikaciju i na ISA Serveru i na objavljenim internim serverima.

U nekim slučajevima, možda ćemo želeti da se korisnici autentifikuju pre nego što pristupe internoj mreži. Da bi ovo omogućili, moramo da konfigurišemo web osluškivače koji su deo jednog publishing pravila da zahtevaju autentifikaciju. Kada se korisnik jednom autentifikuje na ISA Serveru, on će moći da pristupi Web serveru na internoj mreži. Ovo je sigurna konfiguracija jer u slučaju da se korisnik neuspešno autentifikuje na ISA Serveru, on neće moći da pristupi resursima na internoj mreži. Treba koristiti ISA Server autentikaciju ako imamo proste autentikacione zahteve.

Sledeća opcija za konfiguraciju autentifikacije je konfiguracija internog resursa za zahteva autentifikaciju. U ovom scenariju, ISA Server dozvoljava anonimni pristup objavljenom internom serveru, ali interni objavljeni server zahteva autentifikaciju. U ovakvoj konfiguraciji, ISA Server koristi pass-trough autentifikaciju da kompletira proces autentifikacije. Pass-trough autentifikacija odgovara mogućnosti ISA Servera da propusti klijentske autentifikacione informacije ka odredišnom serveru. Sledeći koraci opisuju kako pass-trough autentifikacija radi u Web publishing scenariju:
Organizacije moraju da učine multimedijalne sadržaje dostupnim korisnicima na internetu. ISA Server može da se iskoristi da se omogući siguran pristup Media Serverima koji se nalaze na internoj ili perimeter mreži.

1. Klijent šalje zahtev za objekat na Web serveru koji je zaštićen ISA Serverom. Iz razloga što pravilo objavljivanja omogućava anonimni pristup, ISA Server ne zahteva autentifikaciju i propušta zahtev do Web servera.
2. Web server prima zahtev i zahteva autentifikaciju.
3. ISA Server šalje klijentu zahtev za autentifikacijom.
4. Klijent vraća autentifikacione informacije ISA Serveru.
5. ISA Server propušta klijentsku autentifikacionu informaciju do Web servera.
6. Nakon uspešne autentifikacije, klijent može da komunicira sa Web serverom.

Ovde je važno znati da ako objavljujete resurse koristeći Server Publishing pravilo, možete samo da konfigurišete autentifikaciju na serveru koji hostuje interne resurse. Nećete moći da konfigurišete autentifikaciju u Server Publishing pravilu.

Možemo takođe da dizajniramo autentikacionu strategiju koja zahteva od korisnika autentifikaciju na ISA Serveru i na objavljenom Web Serveru. Možemo da izaberemo implementaciju ove solucije ako imamo web sajt sa različitim tipovima poverljivih informacijama. Na primer, možda ćemo želeti da ograničimo pristup privatnom web sajtu u našoj organizaciji samo na korisnike koji imaju validne domenske korisničke naloge. Ipak, web sajt će možda takođe sadržati određene poverljive informacije koje smeju da vide samo određeni zaposleni u organizaciji. U ovom slučaju možemo da omogućimo ISA Server autentifikaciju da ograničimo pristup web sajtu na samo Domen Users grupu, i nakon toga koristimo autentifikaciju na Web serveru da ograničimo pristup poverljivim infomracijama.

Kada konfigurišemo autentifikaciju na oba servera, korisnici će morati da daju svoje podatke više puta. Ako koristimo Basic autentifikaciju i na ISA Serveru i na Web serveru, možemo da iskoristimo Basic Authentication Delegation da omogućimo samo jedno prijavljivanje (Sign-on) za korisnike. Kada omogućimo Basic Authentication Delegation, ISA Server autentifikuje korisnika, i nakon toga šalje korisničke informacije Web serveru, omogućavajući Web serveru autentifikaciju bez zahtevanja informacija od korisnika.

Možemo da omogućimo Basic Authentification Delegation, ako čekiramo box Forward Basic authentication credentials (Basic delegation) na Users kartici Web publishing ili Secure Web publishing pravila.

RADIUS autentifikacija

ISA Server omogućava korišćenje Remote Authentication Dial-in User Service (RADIUS) za autentifikaciju korisnika koji se konektuju na resurse kroz Web Proxy filter. Ove konekcije uključuju konekcije od Web Proxy klijenta na zaštićenoj mreži i eksterne klijente koji se konektuju na resurse kroz Web Publishing pravila. RADIUS je standardni protokol koji se koristi za pružanje autentifikacije u heterogenom (raznolikom) okruženju.

RADIUS infrastruktura uključuje sledeće komponente:

• RADIUS Server - RADIUS server ima pristup svim korisničkim nalozima u unutar definisanog Namespace-a. RADIUS server šalje autentifikacione zahteve ka Autentifikacionom server kao što je Active Directory Service Domain Controller, i takođe može biti iskorišćen za postavljanje polisa za korisničke konekcije. Microsoft uključuje IAS internet Authentication Server u Windows Server 2000 i Windows Server 2003 operativne sisteme.
• RADIUS Client - RADIUS klijent je tipičan Dial-up server, VPN Server ili Wireless Access point (tačka pristupa). RADIUS klijent je server na koji se korisnici konektuju kad hoće da pristupe mreži. RADIUS klijent sakuplja korisničke informacije i šalje ih u formi RADIUS poruka ka RADIUS Serveru. RADIUS Server autentifikuje RADIUS klijentske zahteve, i šalje nazad RADIUS poruku.

ISA Server može da se konfiguriše kao RADIUS klijent. Ovo znači da kada se korisnici konektuju na ISA Server, ISA Server će poslati korisničke logon informacije RADIUS server pre nego domenskom kontroleru aktivnog direktorijuma.

Najveća i najvažnija prednost korišćenja RADIUS za ISA Server autentifikaciju je, da možemo da autentifikujemo korisnike na osnovu korisničkih imena koji se nalaze u aktivnom direktorijumu i ne moramo da zahtevamo od ISA Server kompjutera da bude član aktivnog direktorijuma (domena).

U većini organizacija koje su izgradile aktivni direktorijum, većina korisničkih naloga se nalazi u aktivnom direktorijumu. Jedna od prednosti korišćenja ISA Servera kao Firewall-a je da možemo da koristimo naloge koji se nalaze u aktivnom direktorijumu da autentifikujemo korisnički pristup, za oba i intern ii eksterni pristup (Inbound & Outbound). Ipak, da bi ISA Server mogao da autentifikuje korisnike koji su članovi aktivnog direktorijuma, kompjuter na kojem radi ISA Server mora da bude član aktivnog direktorijuma. Eksperti za sigurnost tvrde da Firewall ne bi trebao da bude instaliran na kompjuter koji je član aktivnog direktorijuma.

Možemo da koristimo RADIUS da bi iskoristili prednosti korišćenja domena aktivnog direktorijuma a da ne moramo da ubacujemo ISA Server kompjuter u domen. Kada je ISA Server konfigurisan da koristi RADIUS autentifikaciju za dolazeće Web zahteve, Firewall prosleđuje zahteve ka RADIUS serveru koji se nalazi iza Firewall-a. RADIUS server tada može da prosledi autentikacione zahteve server koji je određen i zna kako da proveri identitet korisnika. RADIUS server može da prosledi autentikacione zahteve domenskom kontroleru u akrivnom direktorijumu koji jako dobro zna kako da proverava identitet korisnika (da izvrši autentifikaciju), ili može da pošalje zahteve nekom drugom RADIUS serveru, ili nekom Directory serveru drugog proizvođača koji prihvata RADIUS autentikacione poruke.

Kako implementiramo RADIUS Server za ISA autentifikaciju

Konfiguracija ISA Servera da koristi RADIUS za autentifikaciju zahteva nekoliko koraka:

1. Instalacija i konfiguracija IAS (Internet Authentication Server) - IAS je jedan od mrežnih servisa koje možemo da instaliramo koristeći Add or Remove programs iz Control Panela. Da bi konfigurisali IAS moramo da odradimo nekoliko koraka: Prvo, treba da konfigurišemo IAS Server kao RADIUS klijenta. Ova konfiguracija  uključuje konfiguraciju tajne (secret) koja se koristi pri kreiranju sigurnog kanala između IAS Servera i ISA Servera. Drugo, treba da konfigurišemo IAS da koristi aktivni direktorijum i njegovu bazu sa korisničkim nalozima. Da bi ovo odradili, moramo da registrujemo IAS Server u domenu aktivnog direktorijuma.
2. Konfurišemo korisničke naloge u aktivnom direktorijumu i Remote access polise - Kada korisnik pokuša da izvrši autentifikaciju na RADIUS serveru, RADIUS server proverava properties korisničkog naloga i polise za udaljeni pristup (Remote access polise) da bi odredio da li korisnik može da izvrši autentifikaciju. Korisnički nalog mora da bude konfigurisan da omogućava Dial-in pristup. Nalog takođe mora da bude konfigurisan tako da je Dial-in pristup kontrolisan polisom udaljenog pristupa (remote access policy). Ako je ova opcija omogućena, onda polisa za udaljeni pristup mora da bude kreirana i da omogućava korisniku Dial-in pristup.
3. Konfiguracija ISA Servera da koristi RADIUS za autentifikaciju - Da bi ovo omogućili, moramo da konfigurišemo web osluškivača da koristi RADIUS autentifikaciju i da konfigurišemo na ISA Serveru ime i tajnu (secret) koju će ISA Server da iskoristi kad se konektuje na RADIUS server.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Konfiguracija ISA Server autentifikacije 1

• Konfiguracija ISA Server autentifikacije 2

• Konfiguracija ISA Server autentifikacije 3