Аутентификация

Аналитическая аутентификация

Аналитическая аутентификация доступна в том случае, если осуществляется работа с учетными записями Active Directory. Несмотря на то, что данный метод аутентификации сопряжен с некоторыми угрозами безопасности, он более безопасен, чем базовая аутентификация. Аналитическая аутентификация не является универсальным средством обеспечения безопасности в интернете; она разработана для решения проблем, связанных с базовой аутентификацией. Наряду с Active Directory этому типу аутентификации требуется протокол HTTP 1.1, и он работает только с новыми версиями браузеров, поддерживающими данный протокол.

Для аналитической аутентификации необходимо иметь на контроллере домена копии каждого пароля в виде открытого текста для проверки пароля, вводимого клиентом. В этом и заключается опасность. Пароли хранятся в открытом виде в произвольном месте, поэтому требуется защита контроллера доменов от вторжений, в противном случае пароли могут быть раскрыты злоумышленником. Преимуществом аналитической аутентификации является то, что пароли не передаются через сеть в открытом виде, как в базовой аутентификации.

Ниже приведен порядок работы аналитической аутентификации.

• Сервер отправляет клиенту уведомление о том, что для доступа к данному ресурсу необходимо пройти аналитическую аутентификацию.
• Сервер отправляет клиенту некоторую случайным образом сгенерированную информацию для ее включения в аутентификационный хэш. Этот фрагмент информации позволяет предотвратить повторные атаки.
• Клиент добавляет эту информацию в свою комбинацию имени пользователя/пароля и выполняет одностороннее хэширование с помощью алгоритма хэширования MD5.
• Клиент передает хэш на сервер. Также передается сгенерированный сервером фрагмент данных в открытом виде.
• Сервер комбинирует случайные данные с локальной копией комбинации имени/пароля в открытом тексте и выполняет ее одностороннее хэширование с помощью алгоритма хэширования MD5.
• Данный хэш сопоставляется с полученным, и при совпадении проверка подлинности завершается положительным результатом.

Дополнительная аналитическая аутентификация

Дополнительная аналитическая аутентификация работает точно так же, как и обычная, только с одним важным отличием: пароли хранятся на контроллере домена в виде хэша MD5, а не в открытом виде. Это предотвращает возможность выяснения паролей злоумышленником. Дополнительная аналитическая аутентификация поддерживается протоколом HTTP 1.1, поэтому она работает с любым браузером, совместимым с этим протоколом. Дополнительная аналитическая аутентификация обеспечивает больший уровень безопасности по сравнению аналитической .

Для работы дополнительной аналитической аутентификации требуется следующее.

• Функционирует сервер Active Directory.
• И сервер IIS, и контроллер домена используют операционную систему WS03.
• Клиенты работают в веб-браузере IE, по крайней мере, версии 5.
• Учетная запись пользователя находится в домене Active Directory, пользующемся доверием сервера IIS (или того же домена).

Включение дополнительной аналитической аутентификации

Дополнительная аналитическая аутентификация включается в метабазе. Ее можно применить на любом уровне в W3SVC. W3SVC – это имя, присвоенное службе Web Server (Веб-сервер) в метабазе. Данный параметр метабазы является наследуемым всеми дочерними уровнями. Параметром метабазы для дополнительной аналитической аутентификации является UseDigestSSP. Выполните следующие действия.

1. Откройте файл MetaBase.xml в Notepad (Блокнот) (изменение файла будет происходить прямо в процессе работы).
2. Перейдите на уровень, на котором нужно включить дополнительную аналитическую аутентификацию.
3. Введите UseDigestSSP="TRUE" (см. рис. 7.1).
   

   
   Рис. 7.1. Редактирование параметра UseDigestSSP в метабазе
4. Сохраните и закройте файл.
5. Откройте консоль IIS MMC, затем – окно Authentication Methods (Методы аутентификации) для уровня, на котором нужно включить дополнительную аналитическую аутентификацию. Для этого щелкните правой кнопкой мыши на узле в левой части консоли MMC и выберите команду Properties (Свойства). Затем откройте вкладку Directory Security (Безопасность каталога) и нажмите на кнопку Edit (Изменить).
6. Включите опцию Digest Authentication For Windows Domain Servers (Аналитическая аутентификация серверов доменов Windows).
7. Введите значение в поле Realm (Область) либо нажмите на кнопку Select (Выбрать) для выбора области. Область является важным элементом и должна соответствовать области или домену, на котором будет осуществляться аутентификация клиентов.
8. Нажмите на кнопку OK.
9. Нажмите на кнопку OK еще раз.

Ниже показано, как осуществляется дополнительная аналитическая аутентификация между клиентом и сервером.

1. Сервер отправляет клиенту уведомление, что для доступа к данному ресурсу нужно пройти аналитическую аутентификацию (аналитическая и дополнительная аналитическая аутентификации используют один и тот же протокол).
2. Сервер передает имя области.
3. Клиент комбинирует свои имя и пароль с именем области и создает хэш MD5. Затем серверу отправляется запрос на ресурс, причем хэш MD5 передается в заголовке запроса HTTP.
4. Сервер IIS передает этот хэш контроллеру домена для проверки.
5. Контроллер домена сверяет полученный хэш с тем, что хранится в Active Directory. При их совпадении контроллер домена отправляет серверу IIS подтверждение.