身份验证是防火墙策略的一个不可或缺的部分。虽然规则可以应用于 IP 地址,但是通常仅允许访问已使用专门配置的身份验证机制对自身进行了身份验证的特定用户。
身份验证对于传入请求(即来自目标的请求)和传出请求都很有意义。
如果防火墙客户端所请求的内容不是 HTTP,ISA 服务器将确定是否配置了适用于特定用户或组的相应规则。如果是,ISA 服务器将要求客户端验证自身的身份,以便 ISA 服务器可以确定该规则是否适用于请求该对象的客户端。
对于传出的 Web 请求,应针对用户所在的特定网络配置身份验证。启用 Web 代理客户端访问后,可以配置将用来对 Web 代理客户端进行身份验证的身份验证机制。有关说明,请参阅为 Web 代理客户端配置身份验证方法。
当 Web 代理客户端或防火墙客户端请求 HTTP 内容或 HTTPS(在发布方案中)时,如果选中了“要求所有用户进行身份验证”(对传出请求所在的网络,或者对传入请求侦听器),ISA 服务器将总是首先要求用户提供凭据,然后才检查防火墙策略。
否则,ISA 服务器将试图确定预定的防火墙策略的第一条规则是否与客户端请求匹配。如果规则看上去匹配,但是 ISA 服务器要求进行客户端身份验证以验证匹配,ISA 服务器将要求进行客户端身份验证。
否则,如果规则适用于“所有用户”用户集,或者适用于特定客户端的 IP 地址,ISA 服务器将不会要求用户提供凭据并将尝试应用防火墙策略。
对于拒绝请求并适用于用户的 Web 发布规则,默认情况下,将在 ISA 服务器每次匹配规则失败时都要求客户端重新进行身份验证。
对于防火墙客户端,ISA 服务器在建立会话时要求提供凭据。然后,当防火墙客户端请求对象时,ISA 服务器并不要求客户端重新进行身份验证,因为会话已具有身份。
当配置适用于用户(而不是 IP 地址)的访问规则时,必须至少指定一种身份验证机制,以便发出请求的用户可以真正地证明自己的身份。否则,将拒绝所有请求。
当为 Outlook Web Access 创建 Web 发布规则、安全 Web 发布规则或邮件发布规则时,必须指定 Web 侦听器。Web 侦听器指出哪个网络(或网络中的哪些 IP 地址)接受传入请求,并指出可接受的身份验证机制。有关 Web 侦听器的详细信息,请参阅 Web 侦听器概述。
根据指定的身份验证机制,从发布的 Web 服务器请求对象的客户端必须进行身份验证。
可以同时在 Web 侦听器上使用下列身份验证机制:基本、摘要、集成以及客户端证书身份验证。选定后,RADIUS、SecurID 或基于窗体的身份验证方法必须是所配置的唯一的身份验证机制。
当使用 HTTPS 时,客户端证书身份验证是首选的身份验证机制,它优先于选定的其他任何身份验证机制。只有在客户端使用客户端证书进行身份验证失败时,才使用其他的身份验证机制。