Полное руководство по Citrix MetaFrame XP


Управление доступом клиентов к серверу MetaFrame


Вы можете заставить клиента более безопасно подключаться к серверу MetaFrame несколькими способами. Учтите: каждый из следующих предложенных методов сделает сервер MetaFrame менее удобным в использовании. Ваши пользователи могут не заметить разницы, влияние будет не слишком большим. Однако, если, например, однажды вы разрешили сквозную аутентификацию, а позже ее запретили, то вашим пользователям потребуется небольшая настройка, поскольку вы должны обучить их, как нужно регистрироваться на сервере MetaFrame.

Отключение сквозной аутентификации

Мы обсуждали сквозную аутентификацию в Главе 6. Как говорилось, сквозная аутентификация представляет брешь в защите, потому что вы разрешаете автоматический вход к ресурсам домена. Будучи разрешенным, этот автоматический вход возможен только для того, кто уже имеет некоторую степень доступа к домену, но некоторые приложения или данные, которые могут быть доступны на сервере MetaFrame, не доступны через стандартный вход в домен. В дополнение к очевидным соображениям защиты, связанным со сквозной аутентификацией, существует еще одна не столь очевидная проблема. Когда вы разрешаете сквозную аутентификацию, при входе запускается процесс ssonsvr.exe и берет имя текущего пользователя, домен и пароль. Соединения, настроенные на использование сквозной аутентификации, берут информацию для входа в систему от этой службы. Пользователь, который имеет право Debug Programs (расширенное право) может использовать отладчик, чтобы просмотреть эту информацию в текстовом виде. Пока пользователи осторожны при выходе, эта настройка не опасна, но не стоит сохранять информацию о пароле в текстовом виде в незащищенном файле. Если эта потенциальная уязвимость является для вас проблемой, вы можете совсем отключить сквозную аутентификацию: откройте Program Neighborhood, выберите из меню Tools, ICA Settings. На закладке General сбросьте флажок Pass-Through Authentication.

Ладно, думаете вы, а если кто-то полезет в настройки и снова включит сквозную аутентификацию? Тогда вы можете удалить файлы ssoncom.exe, ssonstub.dll, и ssonsvr.exe, находящиеся в каталоге Program Files\Citrix\ICA Client. Без этих файлов сквозная аутентификация работать не будет.

Использование шифрования




Начало  Назад  Вперед



Книжный магазин