Compartilhar via


O Team Foundation servidor, autenticação básica e a autenticação Digest

[Observação: Este tópico é pré-versão documentação e está sujeitas a alterações em versões futuras. Tópicos em branco são incluídos sistema autônomo espaços reservados.]

Visual Studio 2008 pode oferecer suporte a Basic e Digest modos de autenticação. Configurando o Team Foundation Server implantação para usar HTTPS com Secure Sockets camada (protocolo SSL) e básica ou autenticação Digest, você pode suportar conexões externas para o Team Foundation Server sem a necessidade de uma conexão de rede virtual privada (VPN).

Configurações

Para oferecer suporte a conexões externas para seu Team Foundation Server implantações, você deve configurar o Serviços de Informações da Internet (Serviços de Informações da Internet) para habilitar Basic e/ou Digest autenticação. Além disso, você deve configurar um filtro ISAPI (Internet servidor aplicativo Programming Interface).Filtros ISAPI são arquivos de DLL podem ser usados para modificar e aprimora a funcionalidade fornecida pelo IIS.Filtros ISAPI sempre executados em um servidor que está executando o IIS.Você deve configurar o filtro ISAPI que faz parte do SP1 com os endereços IP de proxies da Web e/ou qualquer cliente necessário para usar o Basic ou a autenticação Digest.

Autenticação básica e a autenticação Digest

A autenticação básica é parte da especificação HTTP 1.0.Ele usa contas de usuário do Windows.Durante a autenticação básica, o navegador solicita ao usuário um nome de usuário e senha.Informações de nome de usuário e senha são transmitidas em HTTP usando a codificação Base64.Por padrão, a autenticação básica exige a conta de usuário do Windows com direitos de logon local no servidor Web.Você pode usar a autenticação básica em implantações de grupo de trabalho e domínio.Embora a maioria dos servidores Web, servidores proxy e navegadores da Web ofereçam suporte à autenticação básica, não é seguro.sistema autônomo é fácil decodificar dados codificado na Base64, autenticação básica essencialmente está enviando a senha sistema autônomo texto sem formatação.Ao monitorar as comunicações da rede, alguém poderia com com facilidade interceptar e decifrar essas senhas usando ferramentas disponível publicamente.

A autenticação Digest é um mecanismo de desafio/resposta que envia um digest (também conhecido sistema autônomo um hash) em vez de uma senha pela rede.Durante a autenticação Digest, IIS envia um desafio ao cliente para criar um digest e depois enviá-la ao servidor.O cliente envia um resumo com base em senha do usuário e dados conhecidos para o cliente e o servidor sistema autônomo resposta ao desafio.O servidor usa o mesmo processo sistema autônomo o cliente para criar seu próprio digest com sistema autônomo informações do usuário obtidas do ativo diretório.Se o digest criado pelo servidor coincidir com o digest criado pelo cliente, o IIS autentica o cliente.Você só pode usar a autenticação Digest em implantações de domínio do ativo diretório.Por si só, A autenticação Digest é apenas uma pequena melhoria em relação autenticação básica.Um invasor pode registrar a comunicação entre cliente e servidor e usar essas informações para repetir a transação.A autenticação Digest também possui dependências no protocolo HTTP 1.1.Nem todos os navegadores da Web oferecem suporte a esse protocolo.Além disso, você deve configurar a autenticação Digest corretamente ou tenta acessar Team Foundation Server falhará. Não escolher a autenticação Digest suas implantações atende a todos os requisitos para autenticação Digest.Para obter mais informações sobre a autenticação Digest, consulte o site da Microsoft na Web (https://go.Microsoft.com/fwlink/?LinkID=89709).

Limitações

Além disso, para os requisitos de domínio e grupo de trabalho mencionadas anteriormente, autenticação básica e a autenticação Digest são insuficientes em si fornecer segurança de rede para clientes externos.Portanto, você não deve configurar Team Foundation Server para oferecer suporte a clientes externos, a menos que você também configurar essas conexões para exigir HTTPS com SSL.

Configuração do filtro ISAPI

Você pode configurar o filtro ISAPI para aplicar regras em qualquer determinado conjunto de endereços IP.Enquanto a maioria dos administradores será principalmente preocupado com o Configurando as filtro ISAPI as regras para endereços IP externos, você pode configurar regras para endereços internos também.Os endereços IP configurados nas regras de filtro ISAPI devem seguir as regras que são especificadas no filtro.Dependendo do RequireSecurePort definindo, endereços não especificados no arquivo podem ou não podem ter permissão para se conectar a Team Foundation Server.

O filtro ISAPI usa um arquivo AuthenticationFilter.ini para suas configurações.Você deve configurar este arquivo com configurações apropriadas para sua implantação.O arquivo pode usar as seguintes chaves de configuração e valores:

Chave

Valores com suporte

RequireSecurePort

True

False

ProxyIPList

IPaddress (pode ser mais de um endereço, separado por ponto-e-vírgula)

SubnetList

IPaddress/subnetmask (can be more than one address, separated by semicolons)

[config]

Cabeçalho da seção do arquivo de filtro ISAPI

sistema autônomo teclas mais são definidas da seguinte maneira:

  • RequireSecurePort   If you configurar RequireSecurePort sistema autônomo True, todas sistema autônomo conexões devem usar HTTPS/SSL e autenticação Digest ou Basic, a menos que sejam um dos endereços especificados na SubnetList. Se você definir RequireSecurePort sistema autônomo False, somente sistema autônomo conexões usando sistema autônomo endereços especificados em ProxyIPList será necessário para usar HTTPS/SSL e Digest ou autenticação básica.

  • ProxyIPList   Esses são o endereço IP ou endereços para o qual você deseja impor a autenticação básica ou Digest.A maneira mais fácil para formarem essa chave é considerar sistema autônomo "exigir somente Basic ou a autenticação Digest para esses endereços." Endereços especificados para essa chave serão necessário usar Digest ou autenticação básica e HTTPS/SSL.Essa chave tem precedência sobre SubnetList; Se a ProxyIPList chave estiver presente, o SubnetList chave e seus valores serão ignorados.

  • SubnetList   The SubnetList é o emparelhar de máscara de sub-rede/endereço IP ou pares para o qual você deseja impor Digest ou autenticação básica. A maneira mais fácil para formarem essa chave é considerar sistema autônomo "exigir todos sistema autônomo endereços para usar o Basic ou a autenticação Digest, exceto para esses endereços." Endereços especificados para essa chave não serão necessário usar Digest ou autenticação básica e HTTPS/SSL.Qualquer endereço não especificado para essa chave deverão usar autenticação básica ou Digest.Se o ProxyIPList chave estiver presente no filtro ISAPI, o SubnetList chave e seus valores serão ignorados.

Consulte também

Tarefas

Demonstra Passo a passo: configuração até Team Foundation servidor com Secure Sockets camada (protocolo SSL) e um filtro ISAPI

Demonstra Passo a passo: Configurando o Team Foundation servidor para exigir HTTPS e protocolo SSL (Secure Sockets camada)

Conceitos

O Team Foundation servidor, HTTPS e Secure Sockets camada (protocolo SSL)