Varje regel definierar en lista över autentiseringsmetoder. Varje autentiseringsmetod definierar kraven för hur identiteter verifieras i kommunikationer som den associerade regeln tillämpas på. Metoderna används av varje peer-dator i den ordning de visas i listan. De bägge peer-datorerna måste ha åtminstone en gemensam autentiseringsmetod, annars kommer kommunikationen att misslyckas. Om du skapar flera autentiseringsmetoder ökar chansen att det går att hitta en gemensam metod för två datorer.

OBS

Det är också viktigt i vilken ordning metoderna kommer eftersom det är endast den första gemensamma metoden som provas. Om autentiseringen misslyckas provas inte några andra metoder i listan, trots att de kanske skulle fungera.

Autentiseringsmetoder

Oberoende av hur många som ställs in kan endast en autentiseringsmetod användas mellan två datorer. Om du har flera regler som gäller för samma par av datorer, måste du i listan för autentiseringsmetoden ställa in dessa regler för att aktivera de två datorerna som ska använda samma metod. Antag till exempel att det finns en regel mellan två datorer som anger att endast Kerberos ska användas för autentisering och att TCP-data ska filtreras, och en annan regel som anger att endast certifikat ska användas för autentisering och att UDP-data ska filtreras. I exempel som detta kommer autentiseringen att misslyckas. Autentiseringsmetoder konfigureras på fliken Autentiseringsmetoder i egenskapssidorna Redigera egenskaper för regel eller Lägg till egenskaper för regel.

  • Autentiseringsprotokollet Kerberos version 5 utgör standardautentiseringsmetoden. Metoden kan användas för alla datorer som använder autentiseringsprotokollet Kerberos V5 och som är medlemmar av samma domän eller betrodda domäner. Metoden är användbar för domänisolering med IPsec (Internet Protocol security).

  • Ett offentligt nyckelcertifikat bör användas i situationer som inkluderar åtkomst via Internet, fjärråtkomst till företagsresurser, kommunikation med utomstående affärspartner eller datorer som inte använder verifieringsprotokollet Kerberos V5. Detta kräver att åtminstone en betrodd certifikatutfärdare (CA) har konfigurerats. Den här versionen av Windows stödjer X.509 Version 3-certifikat, däribland certifikat som genereras av kommersiella certifikatutfärdare.

  • En förväg delad nyckel kan anges. Detta är en delad, hemlig nyckel som två användare tidigare kommit överens om. Den är enkel att använda och kräver inte att klienten måste använda autentiseringsprotokollet Kerberos V5 eller ha ett offentligt nyckelcertifikat. Båda parterna måste manuellt konfigurera IPSec till att använda denna förväg delade nyckel. detta är en enkel metod att autentisera fristående fatorer och andra datorer som som inte använder autentiseringsprotokollet Kerberos V5. En i förväg utdelad nyckel är endast till för autentiseringsskydd – den används inte för dataintegritet eller datakryptering.

Viktigt!

Den i förväg utdelade nyckeln lagras i klartext, och den betraktas inte som en säker metod. I förväg utdelade nycklar bör endast användas i testsyfte.

Se även

Innehåll