IIS authentifiziert Browserclients

In diesem Artikel wird die Authentifizierung von Browserclients durch IIS erläutert.

Originalversion des Produkts: Internet Explorer
Ursprüngliche KB-Nummer: 264921

Zusammenfassung

In diesem Artikel werden die verschiedenen Authentifizierungsmethoden beschrieben, die in IIS für Windows NT 4.0, Windows 2000 und höhere Windows-Versionen verfügbar sind. Eine ausführlichere Beschreibung der Informationen, die in diesem Artikel behandelt werden, finden Sie in den Ressourcenhandbüchern für Windows NT 4.0 und Windows 2000.

Authentifizierungsmethoden, die für Windows NT 4.0 verfügbar sind

Anonym – Es ist keine Anmeldung erforderlich, und jeder darf Zugriff auf Daten erhalten, die mit dieser Methode geschützt sind. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_[Computername]), um die Berechtigungen für die Dateien zu steuern. Der Browser sendet keine Anmeldeinformationen oder Benutzerinformationen mit dieser Art von Anforderung.

  • Unterstützte Browser: Beliebig
  • Einschränkungen: Keine
  • Benutzerrechte erforderlich: Das auf dem Server definierte anonyme Benutzerkonto muss über lokale Anmeldeberechtigungen verfügen.
  • Verschlüsselungstyp: Keine

Einfach (Klartext) – Der Server fordert den Benutzer auf, sich anzumelden, und im Browser wird ein Dialogfeld angezeigt, in dem der Benutzer die erforderlichen Anmeldeinformationen eingeben kann. Diese Anmeldeinformationen müssen mit den Benutzeranmeldeinformationen übereinstimmen, die für die Dateien definiert sind, auf die der Benutzer zugreifen möchte.

  • Unterstützte Browser: Beliebig
  • Einschränkungen: Nicht sicher. Kennwörter können leicht entschlüsselt werden.
  • Benutzerrechte erforderlich: Das Benutzerkonto muss über lokale Berechtigungen verfügen .
  • Verschlüsselungstyp: Base64-Codierung (keine echte Verschlüsselung)

Windows NT-Abfrage/-Antwort : Der Server fordert den Benutzer auf, sich anzumelden. Wenn der Browser Windows NT Challenge/Response unterstützt, sendet er automatisch die Anmeldeinformationen des Benutzers, wenn der Benutzer angemeldet ist. Wenn sich die Domäne, in der sich der Benutzer befindet, von der Domäne des Servers unterscheidet oder wenn der Benutzer nicht angemeldet ist, wird ein Dialogfeld angezeigt, in dem die anmeldeinformationen zum Senden angefordert werden. Windows NT Challenge/Response verwendet einen Algorithmus, um einen Hash basierend auf den Anmeldeinformationen des Benutzers und dem Computer zu generieren, den der Benutzer verwendet. Anschließend wird dieser Hash an den Server gesendet. Das Kennwort des Benutzers wird vom Browser nicht an den Server gesendet.

  • Unterstützte Browser: Internet Explorer-Versionen 3.01 und höher

  • Einschränkungen: Erfordert eine Punkt-zu-Punkt-Verbindung. In der Regel wird ein Schaltkreis nach einer "401 nicht autorisierten" Fehlermeldung geschlossen; Beim Aushandeln einer Windows NT-Abfrage-/Antwort-Authentifizierungssequenz (die mehrere Roundtrips erfordert) hält der Server den Schaltkreis jedoch für die Dauer der Sequenz geöffnet, nachdem der Client angegeben hat, dass er Windows NT Challenge/Response verwendet. CERN-Proxys und bestimmte andere Internetgeräte verhindern dies. Außerdem unterstützt Windows NT Challenge/Response keine Identitätswechsel mit doppeltem Hop (da nach der Übergabe an den IIS-Server dieselben Anmeldeinformationen nicht zur Authentifizierung an einen Back-End-Server übergeben werden können).

  • Benutzerrechte erforderlich: Das Benutzerkonto, das auf den Server zugreift, muss über die Berechtigungen "Über das Netzwerk auf diesen Computer zugreifen" verfügen.

  • Verschlüsselungstyp: NTLM-Hashalgorithmus, der ebenfalls nicht codiert ist.

Rangfolgen: Wenn der Browser eine Anforderung stellt, wird die erste Anforderung immer als anonym betrachtet. Daher werden keine Anmeldeinformationen gesendet. Wenn der Server keine anonyme ODER wenn das auf dem Server festgelegte anonyme Benutzerkonto nicht über Berechtigungen für die angeforderte Datei verfügt, antwortet der IIS-Server mit der Fehlermeldung "Zugriff verweigert " und sendet eine Liste der Authentifizierungstypen, die mithilfe eines der folgenden Szenarien unterstützt werden:

  • Wenn Windows NT Challenge/Response die einzige unterstützte Methode ist (oder anonym fehlschlägt), muss der Browser diese Methode unterstützen, um mit dem Server zu kommunizieren. Andernfalls kann er nicht mit dem Server verhandeln, und der Benutzer erhält die Fehlermeldung "Zugriff verweigert ".
  • Wenn Basic die einzige unterstützte Methode ist (oder anonym fehlschlägt), wird im Browser ein Dialogfeld angezeigt, um die Anmeldeinformationen abzurufen, und diese Anmeldeinformationen werden dann an den Server übergeben. Es wird versucht, diese Anmeldeinformationen bis zu dreimal zu senden. Wenn alle fehlern, ist der Browser nicht mit dem Server verbunden.
  • Wenn sowohl Basic als auch Windows NT Challenge/Response unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser Windows NT Challenge/Response unterstützt, verwendet er diese Methode und greift nicht auf Basic zurück. Wenn Windows NT Challenge/Response nicht unterstützt wird, verwendet der Browser Basic.

Hinweis

  • Wenn Ihr Browser eine Verbindung mit einer Website mithilfe Basic oder NTLM Authentifizierung herstellt, greift er während der restlichen Sitzung mit dem Server nicht auf "Anonym" zurück. Wenn Sie versuchen, eine Verbindung mit einer Webseite herzustellen, die nur nach der Authentifizierung als anonym gekennzeichnet ist, wird Ihnen dies verweigert. (Dies gilt für Netscape.
  • Wenn Internet Explorer eine Verbindung mit dem Server mithilfe Basic oder NTLM Authentifizierung hergestellt hat, werden die Anmeldeinformationen für jede neue Anforderung für die Dauer der Sitzung übergeben.

Authentifizierungsmethoden, die für Windows 2000 und höher verfügbar sind

Anonym – Es ist keine Anmeldung erforderlich, und jeder darf Zugriff auf Daten erhalten, die mit dieser Methode geschützt sind. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_[Computername]), um die Berechtigungen für die Dateien zu steuern. Der Browser sendet keine Anmeldeinformationen oder Benutzerinformationen mit dieser Art von Anforderung.

  • Unterstützte Browser: Beliebig
  • Einschränkungen: Keine
  • Benutzerrechte erforderlich: Das auf dem Server definierte anonyme Benutzerkonto muss über "Lokale Anmeldeberechtigungen" verfügen.
  • Verschlüsselungstyp: Keine

Einfach (Klartext) – Der Server fordert den Benutzer auf, sich anzumelden, und im Browser wird ein Dialogfeld angezeigt, in dem der Benutzer die erforderlichen Anmeldeinformationen eingeben kann. Diese Anmeldeinformationen müssen mit den Benutzeranmeldeinformationen übereinstimmen, die für die Dateien definiert sind, auf die der Benutzer zugreifen möchte.

  • Unterstützte Browser: Beliebig
  • Einschränkungen: Nicht sicher. Kennwörter können leicht entschlüsselt werden.
  • Benutzerrechte erforderlich: Das Benutzerkonto muss über lokale Anmelderechte verfügen.
  • Verschlüsselungstyp: Base64-Codierung (keine echte Verschlüsselung)

Digest : Der Server fordert den Benutzer auf, sich anzumelden, und sendet auch eine NONCE, die zum Verschlüsseln des Kennworts verwendet wird. Der Browser verwendet nonce zum Verschlüsseln des Kennworts und sendet dieses an den Server. Der Server verschlüsselt dann eine eigene Kopie des Benutzerkennworts und vergleicht die beiden. Wenn sie übereinstimmen und der Benutzer über Berechtigungen verfügt, wird der Zugriff gewährt.

  • Unterstützte Browser: Internet Explorer 5 und höhere Versionen
  • Einschränkungen: Nicht so sicher wie integriert. Erfordert, dass der Server Zugriff auf einen Active Directory-Server hat, der für die Digestauthentifizierung eingerichtet ist.
  • Benutzerrechte erforderlich: Erfordert, dass Kennwörter "Kennwort als verschlüsselten Klartext speichern" haben.
  • Verschlüsselungstyp: Basierend auf NONCE, die vom Server gesendet wird.

Windows Integrated (in zwei Unterkategorien unterteilt)

Kerberos – Der Server fordert einen Benutzer auf, sich anzumelden. Wenn der Browser Kerberos unterstützt, geschieht Folgendes:

  • IIS fordert die Authentifizierung an.
  • Wenn sich der Client nicht bei einer Domäne angemeldet hat, wird in Internet Explorer ein Dialogfeld angezeigt, in dem Anmeldeinformationen angefordert werden, und anschließend wird der KDC kontaktiert, um ein Ticket für die Gewährung von Tickets anzufordern und zu erhalten. Es sendet dann das Ticket granting Ticket zusammen mit Informationen über den IIS-Server an den KDC.
  • Wenn sich der IE-Client bereits erfolgreich bei der Domäne angemeldet und ein Ticket für die Gewährung von Tickets erhalten hat, sendet er dieses Ticket zusammen mit Informationen zum IIS-Server an den KDC.
  • Der KDC stellt dem Client ein Ressourcenticket aus.
  • Der Client übergibt dieses Ticket an den IIS-Server.

Kerberos verwendet tickets generated at a Ticket Granting Server (KDC) to authenticate. Dieses Ticket wird an den IIS-Server gesendet. Der Browser sendet das Kennwort des Benutzers NICHT an den Server.

  • Unterstützte Browser: Internet Explorer-Versionen 5.0 und höher
  • Einschränkungen: Der Server muss Zugriff auf einen Active Directory-Server haben. Sowohl der Server als auch der Client müssen über eine vertrauenswürdige Verbindung mit einem KDC verfügen.
  • Benutzerrechte erforderlich: Das auf dem Server definierte anonyme Benutzerkonto muss über lokale Anmeldeberechtigungen verfügen.
  • Verschlüsselungstyp: Verschlüsseltes Ticket.

Windows NT-Abfrage/-Antwort : Der Server fordert den Benutzer auf, sich anzumelden. Wenn der Browser Windows NT Challenge/Response unterstützt, sendet er automatisch die Anmeldeinformationen des Benutzers, wenn der Benutzer angemeldet ist. Wenn sich die Domäne, in der sich der Benutzer befindet, von der Domäne des Servers unterscheidet oder der Benutzer nicht angemeldet ist, wird in Internet Explorer ein Dialogfeld angezeigt, in dem die Anmeldeinformationen zum Senden angefordert werden. Windows NT Challenge/Response verwendet einen Algorithmus, um einen Hash basierend auf den Anmeldeinformationen des Benutzers und dem Computer zu generieren, den der Benutzer verwendet. Anschließend wird dieser Hash an den Server gesendet. Das Kennwort des Benutzers wird vom Browser nicht an den Server gesendet.

  • Unterstützte Browser: Internet Explorer-Versionen 3.01 und höher.
  • Einschränkungen: Erfordert eine Punkt-zu-Punkt-Verbindung. In der Regel wird ein Schaltkreis nach einer "401 nicht autorisierten" Fehlermeldung geschlossen; Beim Aushandeln einer Windows NT-Abfrage-/Antwort-Authentifizierungssequenz (die mehrere Roundtrips erfordert) hält der Server den Schaltkreis jedoch für die Dauer der Sequenz geöffnet, nachdem der Client angegeben hat, dass er Windows NT Challenge/Response verwendet. CERN-Proxys und bestimmte andere Internetgeräte verhindern dies. Außerdem unterstützt Windows NT Challenge/Response keine Double-Hop-Identitätswechsel (d. h., nach der Übergabe an den IIS-Server können dieselben Anmeldeinformationen nicht zur Authentifizierung an einen Back-End-Server übergeben werden, z. B. wenn IIS Windows NT Challenge/Response verwendet, kann der Benutzer nicht mithilfe von SQL Integrated Security für eine SQL Server Datenbank auf einem anderen Computer authentifiziert werden).
  • Benutzerrechte erforderlich: Das Benutzerkonto, das auf den Server zugreift, muss über die Berechtigungen "Über das Netzwerk auf diesen Computer zugreifen" verfügen.
  • Verschlüsselungstyp: NTLM-Hashalgorithmus, der ebenfalls nicht codiert ist.

Rangfolgen: Wenn der Browser eine Anforderung stellt, wird die erste Anforderung immer als anonym betrachtet. Daher werden keine Anmeldeinformationen gesendet. Wenn der Server anonym nicht akzeptiert oder wenn das auf dem Server festgelegte Anonyme Benutzerkonto nicht über Berechtigungen für die angeforderte Datei verfügt, antwortet der IIS-Server mit der Fehlermeldung "Zugriff verweigert " und sendet eine Liste der Authentifizierungstypen, die mithilfe eines der folgenden Szenarien unterstützt werden:

  • Wenn Windows Integrated die einzige unterstützte Methode ist (oder anonym fehlschlägt), muss der Browser diese Methode unterstützen, um mit dem Server zu kommunizieren. Wenn dies fehlschlägt, versucht der Server keine der anderen Methoden.
  • Wenn Basic die einzige unterstützte Methode ist (oder anonym fehlschlägt), wird ein Dialogfeld angezeigt, um die Anmeldeinformationen abzurufen, und diese dann an den Server übergeben. Es wird versucht, die Anmeldeinformationen bis zu dreimal zu senden. Wenn alle fehlern, stellt der Browser keine Verbindung mit dem Server her.
  • Wenn sowohl Basic als auch Windows Integrated unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser Kerberos oder Windows NT Challenge/Response unterstützt, wird diese Methode verwendet. Es wird nicht auf Basic zurückfallen. Wenn Windows NT Challenge/Response und Kerberos nicht unterstützt werden, verwendet der Browser Basic, Digest oder Fortezza, wenn er diese unterstützt. Die Rangfolge hier lautet "Einfach", "Digest" und dann "Fortezza".

Hinweis

  • Wenn Ihr Browser eine Verbindung mit einer Website mithilfe der integrierten Standard- oder Windows-Authentifizierung herstellt, greift er während der restlichen Sitzung mit dem Server nicht auf "Anonym" zurück. Wenn Sie versuchen, eine Verbindung mit einer Webseite herzustellen, die nur nach der Authentifizierung als anonym gekennzeichnet ist, wird ihnen dies verweigert. (Dies gilt für Netscape.
  • Wenn Internet Explorer mithilfe einer anderen Authentifizierungsmethode als "Anonym" eine Verbindung mit dem Server hergestellt hat, werden die Anmeldeinformationen für jede neue Anforderung während der Dauer der Sitzung automatisch übergeben.

References

Weitere Informationen zum Konfigurieren der IIS-Websiteauthentifizierung in Windows Server 2003 finden Sie unter Konfigurieren der IIS-Websiteauthentifizierung in Windows Server 2003.