日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

ISA防火墻中的防火墻客戶身份驗證

云知道

對于防火墻客戶而言 , 當用戶需要訪問非本地網(wǎng)絡(luò)時 , 防火墻客戶端應(yīng)用程序首先將當前登錄用戶的身份憑據(jù)提交至ISA防火墻進行身份驗證 , 只有在用戶的身份憑據(jù)通過驗證時 , ISA防火墻才會處理此用戶的網(wǎng)絡(luò)訪問請求 。
由于涉及到身份驗證憑據(jù)的傳送 , 防火墻客戶端應(yīng)用程序和ISA防火墻之間的通訊是經(jīng)過加密的 。微軟并沒有對具體的驗證方式進行任何相關(guān)的說明 , 只知道它采用的是一種類似于NTLM的驗證機制 。當ISA防火墻和防火墻客戶屬于相同的域時 , ISA防火墻可以通過活動目錄來驗證防火墻客戶 。但是當ISA防火墻和防火墻客戶并不屬于相同的域或者其中一個屬于工作組環(huán)境時 , 你必須創(chuàng)建鏡像賬戶(用戶名和密碼與防火墻客戶所提交的身份憑據(jù)完整一致的用戶賬戶)才能讓防火墻客戶通過驗證 , 那么在使用鏡像賬戶時 , ISA防火墻又是如何驗證用戶的身份憑據(jù)呢?
當ISA防火墻只是具有一個用戶身份驗證數(shù)據(jù)庫時(ISA防火墻屬于工作組環(huán)境或者ISA防火墻作為域控制器時) , 它將使用自己的用戶身份驗證數(shù)據(jù)庫(工作組環(huán)境中使用本地SAM數(shù)據(jù)庫;作為域控制器時使用活動目錄)來驗證防火墻客戶提交的身份憑據(jù) , 而不管防火墻客戶提交的身份憑據(jù)中的所屬域 , 當防火墻客戶提交的身份憑據(jù)通過ISA防火墻的驗證時 , ISA防火墻允許防火墻客戶的網(wǎng)絡(luò)訪問 。
例如以下場景:
ISA防火墻屬于工作組環(huán)境 , 防火墻客戶屬于某個域或?qū)儆诠ぷ鹘M環(huán)境 , 則可以在ISA防火墻上創(chuàng)建鏡像賬戶以讓防火墻客戶通過驗證;
ISA防火墻作為域控制器 , 防火墻客戶屬于不同的域或者屬于工作組環(huán)境 , 則同樣在ISA防火墻上創(chuàng)建鏡像賬戶以讓防火墻客戶通過驗證 。
當ISA防火墻具有多個用戶身份驗證數(shù)據(jù)庫時(ISA防火墻屬于某個域 , 但是不作為域控制器) , 則ISA防火墻根據(jù)接收到的防火墻客戶提交的身份憑據(jù)中的所屬域來判斷用于進行驗證的數(shù)據(jù)庫 。只有在防火墻客戶提交的身份憑據(jù)中的所屬域匹配ISA防火墻所屬于的域時 , ISA防火墻使用活動目錄中的用戶身份信息進行驗證;否則ISA防火墻使用本地SAM數(shù)據(jù)庫進行身份驗證 。
例如以下場景 , ISA防火墻加入域ISACN.ORG , 但是不作為域控制器:
如果防火墻客戶屬于工作組環(huán)境 , 則必須在ISA防火墻中創(chuàng)建本地鏡像賬戶(在本地SAM數(shù)據(jù)庫中創(chuàng)建)以讓防火墻客戶通過驗證 , 而不能在ISACN.ORG域中創(chuàng)建鏡像賬戶;
【ISA防火墻中的防火墻客戶身份驗證】如果防火墻客戶屬于不同的域 , 則同樣必須在ISA防火墻中創(chuàng)建本地鏡像賬戶(在本地SAM數(shù)據(jù)庫中創(chuàng)建)以讓防火墻客戶通過驗證 , 而不能在ISACN.ORG域中創(chuàng)建鏡像賬戶;
因此 , 在需要使用用戶身份驗證時 , 建議大家將ISA防火墻和所有的防火墻客戶加入到相同的域中 , 從而避免創(chuàng)建鏡像賬戶所帶來的額外管理負擔 。

    推薦閱讀