Настройка проверки подлинности (Windows SharePoint Services)

Содержание

• Настройка анонимного доступа (Windows SharePoint Services 3.0)

• Настройка дайджест-проверки подлинности (Windows SharePoint Services)

• Настройка проверки подлинности на основе форм (Windows SharePoint Services)

• Настройка проверки подлинности службой единого входа с помощью служб ADFS (Windows SharePoint Services)

Проверка подлинности — это процесс проверки удостоверения клиента, как правило, через специальный центр. Проверка подлинности веб-сайтом позволяет подтвердить подлинность пользователя, пытающегося получить доступ к ресурсам веб-сайта. Приложение проверки подлинности получает учетные записи от пользователя, запрашивающего доступ к веб-сайту. Учетными записями могут быть разного вида удостоверения, например имя пользователя и пароль. Приложение проверки подлинности пытается проверить учетные записи через центр проверки подлинности. Если учетные записи действительны, пользователь, предоставвивший их, считается объектом с подтвержденной подлинностью.

Настройка проверки подлинности Windows SharePoint Services

При определении оптимального способа проверки подлинности в Windows SharePoint Services 3.0 следует принять во внимание следующее:

• Чтобы использовать тот или иной способ проверки подлинности Windows, необходима среда, поддерживающая учетные данные пользователя, подлинность которых может подтвердить доверенный центр.

• Если используется проверка подлинности Windows, операционная система выполняет задачи управления пользовательскими учетными данными. Если используется поставщик проверки подлинности, отличный от Windows, например проверка подлинности на основе форм, необходимо запланировать и внедрить систему управления учетными данными, а также определить место хранения пользовательских учетных данных.

Проверка подлинности для Windows SharePoint Services 3.0 основана на модели проверки подлинности ASP.NET и включает три поставщика проверки подлинности:

• Поставщик проверки подлинности Windows

• Поставщик проверки подлинности на основе форм

• Поставщик проверки подлинности службой единого входа

Для проверки подлинности можно либо использовать службу каталогов Active Directory, либо разработать свою среду для сверки пользовательских учетных данных с другими хранилищами данных, например с базой данных сервера Microsoft SQL Server, каталогом LDAP или любым другим каталогом, имеющим поставщика контроля членства ASP.NET 2.0. Поставщик контроля членства указывает тип хранилища данных, который предстоит использовать. Поставщик контроля членства по умолчанию ASP.NET 2.0 использует базу данных сервера SQL Server. ASP.NET 2.0 включает поставщика контроля членства SQL Server.

Поставщики проверки подлинности служат для проверки подлинности по пользовательским и групповым учетным данным, которые хранятся в Active Directory, базе данных сервера SQL Server или в службе каталогов LDAP, отличную от Active Directory (например NDS). Дополнительные сведения о поставщиках контроля членства ASP.NET см. в разделе Настройка приложения ASP.NET для использования членства (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x419).

Поставщик проверки подлинности Windows

Поставщик проверки подлинности Windows поддерживает следующие способы проверки подлинности:

• Проверка подлинности с анонимным доступом

  Благодаря проверке подлинности с анонимным доступом пользователи могут находить ресурсы в общедоступных областях веб-сайтов, избегая необходимости предоставлять учетные данные проверки подлинности. Службы IIS создают учетную запись IUSR_имя_компьютера для проверки подлинности анонимных пользователей в ответ на запрос на веб-контент. Учетная запись IUSR_имя_компьютера, где имя_компьютера — это имя сервера, на котором запущены службы IIS, предоставляет пользователю доступ к ресурсам в анонимном режиме в контексте учетной записи IUSR. Можно сбросить анонимный доступ пользователя и использовать любую другую допустимую учетную запись Windows. В изолированной среде учетная запись IUSR_имя_компьютера находится на локальном сервере. Если этот сервер является контроллером домена, учетная запись IUSR_имя_компьютера определяется для домена. Анонимный доступ по умолчанию отключается при создании нового веб-приложения. Это обеспечивает дополнительный уровень безопасности, поскольку службы IIS отклоняют запросы на анонимный доступ еще до их обработки, если анонимный доступ отключен.

• Основная проверка подлинности

  Для использования основной проверки подлинности требуются предварительно назначенные учетные данные Windows для доступа пользователей. Основная проверка подлинности позволяет веб-браузеру предоставлять учетные данные при отправке запросов во время передачи HTTP-данных. Поскольку учетные данные пользователя не шифруются для передачи в сети, а отправляются в виде открытого текста, основную проверку подлинности не рекомендуется использовать при HTTP-подключении по незащищенному каналу. Для использования основной проверки подлинности необходимо включить шифрование по протоколу SSL.

• Краткая проверка подлинности

  Краткая проверка подлинности предусматривает те же функциональные возможности, что и обычная проверка подлинности, но с усилением безопасности. Учетные данные пользователей шифруются, а не отправляются по сети открытым текстом. Учетные данные пользователя передаются в виде хэша MD5, что не позволяет расшифровать исходное имя пользователя и пароль. Краткая проверка подлинности основана на протоколе "запрос-ответ", при котором запрашивающей проверку подлинности стороне требуется предоставить действительные учетные данные в ответ на запрос сервера. Для проверки подлинности на сервере клиент должен направить хэш MD5 в ответном сообщении, содержащем общую строку пароля. Алгоритм хэша MD5 подробно описан в стандарте RFC 1321 рабочей группе проектирования сети Интернет (IETF) (http://www.ietf.org/).

  Для использования краткой проверки подлинности необходимо принять во внимание представленные ниже требования.

  • Пользователь и сервер IIS должны принадлежать одному домену или быть доверенными в нем.

  • Пользователи должны иметь допустимую учетную запись пользователя Windows, хранящуюся в службе каталогов Active Directory контроллера домена.

  • Контроллер домена должен работать под управлением Microsoft Windows Server 2003.

  • На контроллере домена должен быть установлен файл IISSuba.dll. Этот файл копируется автоматически во время установки Windows Server 2003.

• Встроенная проверка подлинности Windows с использованием NTLM

  Этот способ предназначен для серверов Windows, в которых отсутствует Active Directory в контроллере домена. NTLM — это протокол безопасности, который поддерживает шифрование и передачу по сети учетных данных пользователя. В основе NTLM лежит шифрование имен и паролей пользователей перед отправкой их по сети. NTLM — это протокол проверки подлинности, который используется в средах рабочих групп Windows NT Server и Windows 2000 Server, а также во многих развертываниях Active Directory. NTLM используется в смешанных средах доменов Active Directory Windows 2000, которые должны выполнять проверку подлинности в системах Windows NT.

Поставщик проверки подлинности на основе форм

Поставщик проверки подлинности на основе форм поддерживает проверку подлинности по учетным данным, сохраненным в Active Directory, в базе данных, например в базе данных сервера SQL Server или в хранилище данных LDAP, например в Novell eDirectory, Novell Directory Services (NDS) или Sun ONE. Проверка подлинности на основе форм обеспечивает проверку подлинности пользователей путем сверки учетных данных, введенных в форму входа в систему. Запросы, не прошедшие проверку подлинности, перенаправляются на страницу входа, где пользователь должен указать допустимые учетные данные и отправить форму. Если проверка подлинности проходит успешно, система создает cookie-файл с ключом для восстановления удостоверения при последующих запросах.

Поставщик проверки подлинности с помощью веб-службы единого входа

Веб-служба единого входа также называется федеративной или делегированной проверкой подлинности, поскольку она поддерживает безопасный межсетевой обмен данными.

Служба единого входа — это способ проверки подлинности, коорый обеспечивает доступ к нескольким безопасным ресурсам после одной проверки подлинности пользовательских учетных данных. Существует несколько вариантов внедрения проверки подлинности службой единого входа. Проверка подлинности веб-службой единого входа поддерживает безопасный межсетевой обмен данными, позволяя пользователям, прошедшим проверку подлинности в одной организации, получать доступ к веб-приложениям другой организации. Службы федерации Active Directory (ADFS) поддерживают веб-службу единого входа. По сценарию ADFS две организации могут создать федеративные доверительные отношения, которые позволяют пользователям одной организации получать доступ к веб-приложениям, контролируемым другой организацией. Подробно об использовании ADFS для настройки проверки подлинности с помощью веб-службы единого входа см. в разделе Настройка проверки подлинности службой единого входа с помощью служб ADFS (Windows SharePoint Services).