Team Foundation Server, Standardauthentifizierung und Digestauthentifizierung

  • Artikel

Team Foundation Server mit Service Pack 1 (SP1) kann die Modi Standard- und Digestauthentifizierung unterstützen. Wenn Sie Ihre Team Foundation Server -Bereitstellung so konfigurieren, dass HTTPS mit SSL (Secure Socket Layer) und der Standard- oder der Digestauthentifizierung verwendet wird, können Sie externe Verbindungen zu Team Foundation Server auch ohne VPN-Verbindung unterstützen.

Hinweis

Dieses Thema bezieht sich auf die Funktionalität, die für Team Foundation Server mit SP1 verfügbar ist.

Konfigurationen

Sie müssen IIS (Internetinformationsdienste) zum Aktivieren von Standard- und/oder Digestauthentifizierung konfigurieren, um externe Verbindungen zu Ihren Team Foundation Server-Bereitstellungen zu unterstützen. Darüber hinaus müssen Sie einen ISAPI-Filter (Internet Server Application Programming Interface) konfigurieren. ISAPI-Filter sind DLL-Dateien, mit denen die von IIS zur Verfügung gestellte Funktionalität geändert und erweitert werden kann. ISAPI-Filter werden immer auf einem IIS-Server ausgeführt. Sie müssen den zu SP1 gehörigen ISAPI-Filter mit den IP-Adressen von Webproxies und/oder den Clients konfigurieren, die zur Verwendung der Standard- oder der Digestauthentifizierung erforderlich sind.

Standard- und Digestauthentifizierung

Die Standardauthentifizierung ist Teil der HTTP 1.0-Spezifikation. Sie verwendet Windows-Benutzerkonten. Während der Standardauthentifizierung fordert der Browser den Benutzer zur Eingabe eines Benutzernamens und Kennworts auf. Die Angaben für Benutzername und Kennwort werden mithilfe der Base64-Codierung über HTTP übertragen. In der Standardeinstellung erfordert die Standardauthentifizierung Windows-Benutzerkonten mit lokalen Anmelderechten am Webserver. Sie können die Standardauthentifizierung sowohl in Arbeitsgruppen als auch in Domänenbereitstellungen verwenden. Obwohl die meisten Webserver, Proxyserver und Webbrowser die Standardauthentifizierung unterstützen, ist sie nicht sicher. Da Daten mit Base64-Codierung einfach dekodiert werden können, wird bei der Standardauthentifizierung das Kennwort im Nur-Text-Format gesendet. Diese Kennwörter können durch die Überwachung der Netzwerkkommunikation mithilfe öffentlich verfügbarer Tools problemlos von Dritten abgefangen und entschlüsselt werden.

Die Digestauthentifizierung ist ein auf Abfrage und Rückmeldung basierender Mechanismus, der ein Digest (auch als Hash bezeichnet) anstelle eines Kennworts über das Netzwerk sendet. Während der Digestauthentifizierung sendet IIS eine Abfrage an den Client, um ein Digest zu erstellen, und sendet dieses dann an den Server. Der Client sendet als Rückmeldung auf die Abfrage ein auf dem Kennwort und den Daten des Benutzers basierendes Digest an den Client und an den Server. Der Server führt denselben Vorgang wie der Client aus, um anhand der Benutzerinformationen aus Active Directory sein eigenes Digest zu erstellen. Wenn das vom Server erstellte Digest mit dem vom Client erstellten übereinstimmt, authentifiziert IIS den Client. Sie können die Digestauthentifizierung nur in Active Directory-Domänenbereitstellungen verwenden. Im Grunde ist die Digestauthentifizierung alleine nur eine geringe Verbesserung gegenüber der Standardauthentifizierung. Ein Angreifer kann die Kommunikation zwischen Client und Server aufzeichnen und diese Informationen nutzen, um die Transaktion wiederzugeben.

Einschränkungen

Zusätzlich zu den bereits erwähnten Domänen- und Arbeitsgruppenanforderungen sind sowohl die Standard- als auch die Digestauthentifizierung alleine nicht ausreichend, um Netzwerksicherheit für externe Clients zu gewährleisten. Deshalb sollten Sie Team Foundation Server nicht für die Unterstützung externer Clients konfigurieren, es sei denn, Sie konfigurieren diese Verbindungen so, dass HTTPS mit SSL erforderlich ist.

ISAPI-Filterkonfiguration

Der ISAPI-Filter kann so konfiguriert werden, dass Regeln auf jeden Satz an IP-Adressen erzwungen werden können. Während die meisten Administratoren hauptsächlich ISAPI-Filterregeln für externe IP-Adressen konfigurieren, können Sie auch Regeln für interne Adressen konfigurieren. Alle IP-Adressen, die in den ISAPI-Filterregeln konfiguriert wurden, müssen den im Filter angegeben Regeln entsprechen. Je nach RequireSecurePort-Einstellung können nicht in der Datei angegebene Adressen möglicherweise eine Verbindung zu Team Foundation Server herstellen.

Der ISAPI-Filter verwendet eine AuthenticationFilter.ini-Datei für die Konfigurationseinstellungen. Sie müssen die Einstellungen dieser Datei Ihrer Bereitstellung entsprechend konfigurieren. Die Datei kann die folgenden Konfigurationsschlüssel und -werte verwenden:

Schlüssel Unterstützte Werte

RequireSecurePort

True

False

ProxyIPList

IPaddress (kann mehr als eine Adresse sein, durch Semikolons getrennt).

SubnetList

IP address/subnet mask (kann mehr als eine Adresse sein, durch Semikolons getrennt).

[config]

Abschnittsheader für die ISAPI-Filterdatei.

Die Schlüssel sind folgendermaßen weiter definiert:

  • RequireSecurePort   Wenn Sie RequireSecurePort als True konfigurieren, müssen alle Verbindungen HTTPS/SSL und die Digest- oder die Standardauthentifizierung verwenden, es sei den, sie gehören zu den in SubnetList angegebenen Adressen. Wenn Sie RequireSecurePort als False konfigurieren, müssen nur die Verbindungen, die die in ProxyIPList angegebenen Adressen verwenden, HTTPS/SSL und die Digest- oder die Standardauthentifizierung verwenden.

  • ProxyIPList   IP Adresse oder Adressen, für die Sie die Digest- oder die Standardauthentifizierung implementieren sollten. Die einfachste Methode, sich unter diesem Schlüssel etwas vorzustellen, besteht in der Funktionsbeschreibung "Für diese Adressen nur Standard- oder Digestauthentifizierung erforderlich". Für die Adressen, die für diesen Schlüssel angegeben sind, ist die Verwendung der Digest- oder der Standardauthentifizierung und von HTTPS/SSL erforderlich. Dieser Schlüssel hat Vorrang vor SubnetList. Wenn der ProxyIPList-Schlüssel vorhanden ist, werden der SubnetList-Schlüssel und dessen Werte ignoriert.

  • SubnetList   IPAdresse/Subnetmaskenpaar oder -paare, für die Sie keine Digest- oder Standardauthentifizierung erzwingen sollten. Die einfachste Methode, sich unter diesem Schlüssel etwas vorzustellen, besteht in der Funktionsbeschreibung "Für alle Adressen außer diesen Adressen ist die Verwendung der Standard- oder der Digestauthentifizierung erforderlich". Für die Adressen, die für diesen Schlüssel angegeben sind, ist die Verwendung der Digest- oder der Standardauthentifizierung und von HTTPS/SSL nicht erforderlich. Für jede Adresse, die nicht für diesen Schlüssel angegeben ist, muss die Digest- oder die Standardauthentifizierung verwendet werden. Wenn der ProxyIPList-Schlüssel im ISAPI-Filter vorhanden ist, werden der SubnetList-Schlüssel und dessen Werte ignoriert.

Siehe auch

Aufgaben

Exemplarische Vorgehensweise: Einrichten von Team Foundation Server für SSL (Secure Sockets Layer) und einen ISAPI-Filter
Exemplarische Vorgehensweise: Einrichten von Team Foundation Server für HTTPS und SSL (Secure Sockets Layer)

Konzepte

Team Foundation Server, HTTPS und SSL (Secure Sockets Layer)