概述
大多數計算機利用三個階段來訪問敏感型操作、應用和數據:
☆ 身份確認是計算機或應用用來識別用戶的階段,通常利用用戶名加以識別。
☆ 在認證階段,計算機或應用試圖進一步確認使用密碼、令牌以及 SSL 認證的用戶。
☆ 授權是應用或計算機確定用戶在何時可以做什么。
企業的 IT 員工需要指定或控制經授權的用戶所訪問的內容。大多數企業認證用戶被詢問的通常是他們的密碼。隨著互聯網訪問大多數電子商務和多種業務應用,許多企業結束了這種認證數千用戶的方式。
挑戰
在應用中單獨管理認證需要花費高昂的成本。高等級認證的執行消耗了可在其它地方發作用的服務器循環。為數千位用戶配置認證可能會潛在地出現錯誤,導致用戶無法正常工作、生產效率降低、收入減少甚或出現未授權的訪問。當授權服務器停機時將發生什么情況?為了獲得完善的保護,認證服務器應處于冗余狀態且負載平衡,以保證經授權用戶的順利使用。
解決方案
F5 高級客戶端認證
F5 高級客戶端認證軟件模塊與 BIG-IP 本地流量管理器結合使用,為多種認證方案(包括 LDAP、Radius、TACAS、SSL 以及 OCSP) HTTP 及其它流量類型提供客戶端認證。高級客戶端認證模塊與 BIG-IP 本地流量管理器結合使用可提供以下優勢:
☆ 提供定制的認證架構,使您擁有選擇最符合需求的認證方案的能力,并根據需求快速更改和部署全新的認證方案。
☆ 通過將應用認證集中至一個認證高速緩存可減輕管理負擔、延遲并減少配置錯誤,從而縮減 TCO。
☆ 通過卸載認證流程(包括 SSL 證書的認證)來擴大服務器和應用容量。
☆ 利用您選擇的認證方案在允許網絡訪問前檢查用戶的身份驗證證書或 SSL 證書,在不合格的流量到達服務器和應用之前對其加以阻止。
☆ 實現認證服務器的負載平衡,以便為您的網絡和應用基礎設施提供連續的保護。
☆ 由于所有認證都是在 BIG-IP 設備上完成的,因此可減少 web 應用的測試和開發工作。
下圖顯示出 BIG-IP 本地流量管理器如何通過遠程服務器采用卸載用戶認證方式擴大服務器容量。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/clientauth_wp1.gif")
本文描述了 F5 高級客戶端認證模塊如何通過卸載認證流程來擴大服務器容量,從而保護您的應用基礎設施。
可插拔認證模塊技術
BIG-IP 本地流量管理器的主要特性是其支持可插拔認證模塊 (PAM) 技術將客戶端信息傳遞至遠端服務器進行認證的能力。該特性支持您的應用充分利用任意數量的 PAM 來認證流量。
將 BIG-IP 本地流量管理器作為多種類型流量的認證代理,企業能夠在 BIG-IP 設備上為應用提供高端認證。這種方案進一步鞏固了應用的保護層,為您的 Web 和應用層提供了更高等級的保護。
缺省模式下,BIG-IP 系統利用基本的 HTTP 認證(用戶名、密碼)遠程認證流量。您建立遠程認證所采用的流程取決于您存儲用戶帳戶所采用的遠程服務器類型。以下實例顯示出 BIG-IP 認證用戶所采用的步驟順序。
1. 用戶通過 BIG-IP 向服務器發送 HTTP GET 請求。
2. BIG-IP 查找用戶的 HTTP 請求用于 HTTP-AUTHENTICATE 報文頭(包括用戶的身份驗證證書)。如果未經身份驗證,則 BIG-IP 將向用戶發送 401 錯誤信息。
3. 用戶瀏覽器彈出以便用戶進行驗證并向 BIG-IP 發送帶有用戶身份驗證證書(在 HTTP-AUTHENTICATE 報文頭中編碼)的新請求。
1. BIG-IP 從 HTTP-AUTHENTICATE 報文頭中提取用戶身份驗證證書。
2. BIG-IP 將證書轉發給認證服務器進行認證。
0. 如果用戶身份驗證證書丟失或與存儲于認證服務器中的信息不符,BIG-IP 則將向用戶發送 401 錯誤信息,請求證書。
0. 如果用戶身份驗證證書與存儲于認證服務器中的信息匹配,BIG-IP 則將用戶請求發送至服務器以便訪問應用。
0. 然后,服務器檢索用戶請求的應用。
0. 最后,BIG-IP 將應用轉發給用戶。
認證模塊
BIG-IP 本地流量管理器利用認證模塊支持不同的認證方案。這些認證模塊使您能夠利用遠程系統對通過 BIG-IP 本地流量管理器的應用請求進行認證。
利用具有高級客戶端認證模塊的 BIG-IP 本地流量管理器,您能夠利用以下任意一種認證模塊:
☆ 輕型目錄訪問協議 (LDAP) 利用存儲于遠程 LDAP 服務器或 Microsoft Windows Active Directory 服務器之上的數據對網絡流量進行認證。客戶端證書以基本的 HTTP 認證(用戶名和密碼)為依據。
☆ 遠程認證撥號用戶服務 (RADIUS) 利用存儲于遠程 RADIUS 服務器之上的數據對網絡流量進行認證。客戶端證書以基本的 HTTP 認證(用戶名和密碼)為依據。
☆ TACACS+ 利用存儲于遠程 TACACS+ 服務器之上的數據對網絡流量進行認證。客戶端證書以基本的 HTTP 認證(用戶名和密碼)為依據。
☆ SSL 客戶端證書 LDAP 利用存儲于遠程 LDAP 服務器之上的數據對網絡流量進行認證。客戶端證書以 SSL 證書以及定義的用戶群和角色為依據。
☆ 在線證書狀態協議 (OCSP) 利用存儲于遠程 OCSP 服務器之上的數據,通過檢查客戶端證書的撤銷狀態對網絡流量進行認證。客戶端證書以 SSL 證書為依據。
☆ 通用認證支持您識別和利用 HTTP 報文頭或負載中傳遞的變量用于客戶端認證,包括在協議中通信的證書和值。利用 F5 的 iRules、基于 TCL 的編程語言以及 F5 的通用檢查引擎進行檢查、識別并根據其有效負載的內容分離流量。
SSL 終端
如果您利用 SSL 保護 HTTP 基本的認證流量,那么,您必須對 BIG-IP 進行配置以執行服務器端 SSL 信息交換(通常當認證流量時遠程服務器會進行如此操作)。從您的應用服務器中卸載 SSL 的流程可讓您的網絡具有更高效率。
LDAP 舉例
在下例中,用戶希望訪問一個受保護的站點 (HTTPS)。如果用戶以身份驗證證書作為響應,則 BIG-IP 創建用戶標識名(利用管理員指定的“基本”和“密鑰”值),并將用戶標識名連同其密碼發送至 LDAP 服務器。如果 LDAP 服務器驗證出用戶身份證書正確,則用戶被允許訪問受保護的站點。如果用戶驗證身份證書不正確,則 BIG-IP 將切斷連接。
先進的性能
憑借 BIG-IP,您能夠利用其先進的性能執行如下操作:
☆ 利用過濾器進一步明確用戶能夠執行的操作
☆ 接受或拒絕基于認證結果的用戶訪問
☆ 利用虛擬服務器對用戶進行認證
以下章節介紹了每種性能。
過濾角色和用戶群
將標識名放置于 LDAP 數據庫(基本用于認證)中后,您還可利用 BIG-IP 采用過濾器進一步定義用戶可執行的操作,例如:
☆ 用戶必須具有特定的角色
☆ 用戶必須屬于一個特定的組
☆ 此外,其它 LDAP 屬性也可能作為過濾器使用
過濾器的效果是累積的;如果角色和用戶群都為特定屬性,則用戶必須擁有一個角色并屬于一個用戶組。
接受/拒絕失效的授權嘗試
您還能夠對 BIG-IP 進行配置,以拒絕或接受基于授權結果的連接。這種性能使您能夠利用 F5 iRules 控制流量或支持服務器對于認證失敗的用戶發揮截然不同的作用(將模式配置為“接受”)。例如,將模式配置為“拒絕”時,BIG-IP 可切斷連接。
虛擬服務器的遠程認證
憑借 BIG-IP,您能夠認證虛擬服務器的用戶。利用 F5 iRules,這種性能與簡檔 (Profile) 相同。BIG-IP 為 LDAP、RADIUS、TACACS+、Client Cert LDAP 以及 OCSP 提供缺省的認證 iRules。
當認證用戶身份認證證書發生故障時,以下 iRule 將向用戶返回 401 錯誤信息。
when CLIENT_ACCEPTED {
set tmm_auth_ldap_sid [AUTH::start pam default_ldap]
}
when HTTP_REQUEST {
AUTH::username_credential $tmm_auth_ldap_sid [HTTP::username]
AUTH::password_credential $tmm_auth_ldap_sid [HTTP::password]
AUTH::authenticate $tmm_auth_ldap_sid
HTTP::collect
}
when AUTH_SUCCESS {
if {$tmm_auth_ldap_sid eq [AUTH::last_event_session_id]} {
HTTP::release
}
}
when AUTH_FAILURE {
if {$tmm_auth_ldap_sid eq [AUTH::last_event_session_id]} {
HTTP::respond 401
}
}
when AUTH_WANTCREDENTIAL {
if {$tmm_auth_ldap_sid eq [AUTH::last_event_session_id]} {
HTTP::respond 401
}
}
when AUTH_ERROR {
if {$tmm_auth_ldap_sid eq [AUTH::last_event_session_id]} {
HTTP::respond 401
}
}
總結
F5 高級客戶端認證軟件模塊與 BIG-IP 本地流量管理器結合使用,為多種認證方案(包括 LDAP、Radius、TACAS、SSL 以及 OCSP) HTTP 及其它流量類型提供客戶端認證。這種認證架構為您提供利用認證方案的出色的靈活性,從而最大限度的滿足您的需求,并可根據需求快速更換和部署全新的認證方案。這種設計不僅能夠在不合格的流量到達服務器和應用之前對其加以阻止,還可通過以下方式降低您的總體擁有成本:
☆ 將應用認證集中至一個認證高速緩存來減輕管理負擔、延遲并減少配置錯誤
☆ 通過卸載認證流程(包括 SSL 證書的認證)來擴大服務器和應用容量。
☆ 由于所有認證都是在 BIG-IP 設備上完成的,因此可減少 web 應用的測試和開發工作。
☆ 利用 BIG-IP,您還可以實現認證服務器的負載平衡,從而為您的網絡和應用基礎設施提供連續的保護。
