Iniciar sesi�n

Select the product you need help with

�C�mo IIS autentica a los clientes de explorador

Id. de art�culo: 264921 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Se recomienda encarecidamente que todos los usuarios actualizar a la versi�n 7.0 de Microsoft Internet Information Services (IIS) que se ejecutan en Microsoft Windows Server 2008. IIS 7.0 aumenta significativamente la seguridad de la infraestructura Web. Para obtener m�s informaci�n acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:

http://www.Microsoft.com/technet/security/prodtech/IIS.mspx

(http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

Para obtener m�s informaci�n acerca de IIS 7.0, visite el siguiente sitio Web de Microsoft:

http://www.IIS.NET/default.aspx?tabid=1

(http://www.iis.net/default.aspx?tabid=1)

Expandir todo | Contraer todo

En esta p�gina

Resumen

Este art�culo describe los diferentes m�todos de autenticaci�n que est�n disponibles en IIS para Microsoft Windows NT 4.0 y Microsoft Windows 2000. Para obtener una descripci�n m�s completa de la informaci�n tratada en este art�culo, consulte la Windows NT 4.0 y las gu�as de recursos de Windows 2000.

Volver al principio | Enviar comentarios

M�s informaci�n

M�todos de autenticaci�n que est�n disponibles para Windows NT 4.0

An�nimo -Inicio de sesi�n no es necesario y cualquier usuario tiene permiso para tener acceso a datos protegidos con este m�todo. El servidor usa un integrada cuenta (IUSR_ nombre del equipo de forma predeterminada) para controlar los permisos de los archivos. El explorador no env�a las credenciales o info de usuario con este tipo de solicitud.

Navegadores soportados: cualquier
Limitaciones: ninguno
Derechos de usuario necesarios: La cuenta de usuario an�nimo definida en el servidor debe tener permisos de "Inicio de sesi�n local".
Tipo de cifrado: ninguno

B�sica (texto sin cifrar) -El servidor solicita al usuario iniciar sesi�n y aparece un cuadro de di�logo en el explorador que permite al usuario que escriba las credenciales necesarias. Estas credenciales deben coincidir con las credenciales de usuario definidas en los archivos que el usuario est� intentando tener acceso.

Navegadores soportados: cualquier
Limitaciones: No es muy segura. Las contrase�as son f�cilmente descifradas.
Derechos de usuario necesarios: La cuenta de usuario debe tener permisos de "Inicio de sesi�n local".
Tipo de cifrado: Codificaci�n Base 64 (true no cifrado)

Desaf�o/respuesta de Windows NT -El servidor solicita al usuario iniciar sesi�n. Si el explorador admite desaf�o/respuesta de Windows NT, env�a autom�ticamente las credenciales del usuario si el usuario inicia sesi�n. Si el dominio que el usuario es diferente del dominio del servidor, o si el usuario no inicia sesi�n, aparece un cuadro de di�logo que solicita las credenciales para enviar. Desaf�o/respuesta de Windows NT utiliza un algoritmo para generar un valor hash basado en las credenciales del usuario y el equipo que est� utilizando el usuario. A continuaci�n, se env�a este hash para el servidor. El explorador no env�a la contrase�a del usuario a trav�s de al servidor.

Navegadores compatibles: Versiones Internet Explorer 3.01 y posteriores
Limitaciones: Se requiere conexi�n punto a punto. Normalmente, se cierra un circuito tras un error "401 no autorizado" del mensaje; Sin embargo, al negociar una secuencia de autenticaci�n de desaf�o/respuesta de Windows NT (que requiere varios viajes de ida y), el servidor mantiene el circuito abierto para la duraci�n de la secuencia despu�s de que el cliente ha indicado que va a utilizar desaf�o/respuesta de Windows NT. Servidores proxy CERN y algunos otros dispositivos de Internet que no funcionen. Adem�s, desaf�o/respuesta de Windows NT no es compatible con imitaciones de salto doble (en que una vez que se pasa al servidor IIS, las mismas credenciales no se puede pasar a un servidor back-end para la autenticaci�n).
Derechos de usuario necesarios: La cuenta de usuario que tiene acceso al servidor debe tener permisos de "Acceso A este equipo desde la red".
Tipo de cifrado: Algoritmo de Hash NTLM tambi�n es uuencode.

Orden de precedencia:Cuando el explorador realiza una solicitud, siempre considera que la primera solicitud para ser an�nimo. Por lo tanto, no env�a ninguna credencial. Si el servidor no acepta an�nimo o si la cuenta de usuario an�nimo configurado en el servidor no tiene permisos para el archivo solicitado, el servidor IIS responde con un mensaje de error "Acceso denegado" y env�a una lista de los tipos de autenticaci�n que son compatibles con uno de los siguientes escenarios:

Si es el �nico desaf�o/respuesta de Windows NT admite el m�todo (o si se produce un error en an�nimo), a continuaci�n, el explorador debe admitir este m�todo para comunicarse con el servidor. De lo contrario, no puede negociar con el servidor y el usuario recibe un mensaje de error "Acceso denegado".
Si es la �nica Basic admite el m�todo (o si se produce un error en an�nimo), a continuaci�n, un cuadro de di�logo aparece en el explorador para obtener las credenciales y, a continuaci�n, pasa estas credenciales al servidor. Intente enviar estas credenciales hasta tres veces. Si no todos, el explorador no est� conectado al servidor.
Si se admiten Basic y desaf�o/respuesta de Windows NT, el explorador determina el m�todo que utiliza. Si el explorador admite desaf�o/respuesta de Windows NT, se utiliza este m�todo y no retroceso a texto b�sico. Si no se admite el desaf�o/respuesta de Windows NT, el explorador utiliza Basic.

Notas:

Cuando el explorador establece una conexi�n con un sitio Web mediante la autenticaci�n b�sica o NTLM, no retroceso a an�nimo durante el resto de la sesi�n con el servidor. Si intenta conectarse a una p�gina Web que est� marcada para an�nimo s�lo despu�s de autenticar, denegar�. (Esto puede o no puede mantener cierto para Netscape).
Cuando Internet Explorer ha establecido una conexi�n con el servidor mediante la autenticaci�n b�sica o NTLM, pasa las credenciales para cada nueva solicitud para la duraci�n de la sesi�n.

M�todos de autenticaci�n que est�n disponibles para Windows 2000 y versiones posteriores

Navegadores soportados: cualquier
Limitaciones: ninguno
Derechos de usuario necesarios: La cuenta de usuario an�nimo definida en el servidor debe tener permisos de "Inicio de sesi�n local".
Tipo de cifrado: ninguno

Navegadores soportados: cualquier
Limitaciones: No es muy segura. Las contrase�as son f�cilmente descifradas.
Derechos de usuario necesarios: La cuenta de usuario debe tener derechos "Inicio de sesi�n local"
Tipo de cifrado: Codificaci�n Base 64 (true no cifrado)

Resumen -El servidor pide al usuario iniciar sesi�n y tambi�n env�a un NONCE utilizado para cifrar la contrase�a. El explorador utiliza el valor NONCE para cifrar la contrase�a y env�a al servidor. El servidor, a continuaci�n, cifra su propia copia de la contrase�a del usuario y compara los dos. Si coinciden y el usuario tiene permisos de acceso.

Navegadores compatibles: Internet Explorer 5 y versiones posteriores
Limitaciones: No como secure como integrado. Requiere que el servidor tenga acceso a un servidor de Active Directory que se ha configurado para la autenticaci�n impl�cita.
Derechos de usuario necesarios: Requiere que las contrase�as tienen "Guardar contrase�a como texto sencillo cifrado"
Tipo de cifrado: Seg�n NONCE enviado por el servidor.

Para obtener m�s informaci�n, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

ingl�s 222028

(http://support.microsoft.com/kb/222028/ )

Configurar la autenticaci�n de texto impl�cita para su uso con servicios de Internet Information Server 5.0

Fortezza -Para utilizar seguridad Fortezza en IIS 5.0, debe tener un archivo adecuado del proveedor de servicios criptogr�ficos de API (CSP) de un proveedor de Fortezza, como http://www.spyrus.com.

Integrada de Windows (que se divide en dos categor�as de sub)
Kerberos -El servidor solicita un usuario para iniciar sesi�n. Si el explorador admite Kerberos, lo siguiente:

Solicita la autenticaci�n IIS.
Si el cliente no ha iniciado sesi�n en un dominio, un cuadro de di�logo aparece en Internet Explorer solicita las credenciales y, a continuaci�n, pone en contacto con el KDC para solicitar y recibir un vale de concesi�n de vales. A continuaci�n, se env�a el vale de concesi�n de vales junto con informaci�n sobre el servidor IIS en el KDC.
Si el cliente de IE correctamente ya ha iniciado una sesi�n en el dominio y recibe un vale de concesi�n de vales, env�a este vale junto con informaci�n acerca del servidor IIS en el KDC
El KDC emite al cliente un vale de recursos.
El cliente pasa este vale para el servidor IIS.

Kerberos utiliza vales generados en un servidor de concesi�n de vale (KDC) para autenticar. Env�a este vale para el servidor IIS. El explorador no env�a la contrase�a del usuario a trav�s de al servidor.

Navegadores compatibles: Versiones Internet Explorer 5.0 y superior
Limitaciones: el servidor debe tener acceso a un servidor de Active Directory. El servidor y el cliente deben tener una conexi�n de confianza en un KDC.
Derechos de usuario necesarios: La cuenta de usuario an�nimo definida en el servidor debe tener permisos de "Inicio de sesi�n local".
Tipo de cifrado: cifrar el vale.

Desaf�o/respuesta de Windows NT -El servidor solicita al usuario iniciar sesi�n. Si el explorador admite desaf�o/respuesta de Windows NT, env�a autom�ticamente las credenciales del usuario si el usuario inicia sesi�n. Si el dominio que el usuario es diferente del dominio del servidor, o si el usuario no se ha iniciado sesi�n, aparece un cuadro de di�logo de Internet Explorer solicita las credenciales para enviar. Desaf�o/respuesta de Windows NT utiliza un algoritmo para generar un valor hash basado en las credenciales del usuario y el equipo que est� utilizando el usuario. A continuaci�n, se env�a este hash para el servidor. El explorador no env�a la contrase�a del usuario a trav�s de al servidor.

Navegadores compatibles: Internet Explorer versi�n 3.01 y posteriores.
Limitaciones: Se requiere conexi�n punto a punto. Normalmente, se cierra un circuito tras un error "401 no autorizado" del mensaje; Sin embargo, al negociar una secuencia de autenticaci�n desaf�o/respuesta de Windows NT (que requiere varios viajes de ida y), el servidor mantiene el circuito abierto para la duraci�n de la secuencia despu�s de que el cliente ha indicado que va a utilizar desaf�o/respuesta de Windows NT. Servidores proxy CERN y algunos otros dispositivos de Internet que no funcionen. Adem�s, desaf�o/respuesta de Windows NT no admite imitaciones de salto doble (lo que significa que una vez que se pasa al servidor IIS, las mismas credenciales no se puede pasar a un servidor back-end para la autenticaci�n, por ejemplo, cuando IIS usa desaf�o/respuesta de Windows NT, no puede, a continuaci�n, autenticar al usuario contra una base de datos SQL Server en otro equipo mediante la seguridad integrada de SQL).
Derechos de usuario necesarios: El servidor de acceso a la cuenta de usuario debe tener permisos de "Acceso A este equipo desde la red".
Tipo de cifrado: Algoritmo de Hash NTLM tambi�n es uuencode.

Si es la �nica integrada de Windows admite el m�todo (o si se produce un error en an�nimo), a continuaci�n, el explorador debe admitir este m�todo para comunicarse con el servidor. Si no lo consigue, el servidor intente cualquiera de los otros m�todos.
Si Basic es el �nico admitido m�todo (o si se produce un error en an�nimo), a continuaci�n, un cuadro de di�logo que aparece en la para obtener las credenciales y, a continuaci�n, pasa al servidor. Intenta enviar las credenciales hasta tres veces. Si no todos, el explorador no se conecta al servidor.
Si se admiten Basic y Windows integrada, el explorador determina el m�todo que utiliza. Si el explorador admite Kerberos o desaf�o/respuesta de Windows NT, se utiliza este m�todo. No RETROCESO para Basic. Si no se admiten desaf�o/respuesta de Windows NT y Kerberos, el explorador utiliza b�sica, impl�cita o Fortezza si es compatible con estos. El orden de prioridad aqu� es Basic, Digest y, a continuaci�n, Fortezza.

Notas:

Cuando el explorador establece una conexi�n con un sitio Web mediante la autenticaci�n b�sica o integrada de Windows, no retroceso a an�nimo durante el resto de la sesi�n con el servidor. Si intenta conectarse a una p�gina Web que est� marcada para an�nimo s�lo despu�s de autenticar, se le denegar�. (Esto puede o no puede mantener cierto para Netscape).
Cuando Internet Explorer ha establecido una conexi�n con el servidor mediante el uso de un m�todo de autenticaci�n distinto del an�nimo, pasa autom�ticamente las credenciales para cada nueva solicitud durante la duraci�n de la sesi�n.

Volver al principio | Enviar comentarios

Referencias

Para obtener m�s informaci�n acerca de c�mo configurar la autenticaci�n de sitio Web de IIS en Windows Server 2003, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

324274

(http://support.microsoft.com/kb/324274/ )

C�mo configurar la autenticaci�n del sitio Web de IIS en Windows Server 2003

Para obtener m�s informaci�n acerca de los problemas que puede producirse si se recicla un grupo de aplicaciones del sitio Web est� alojado en IIS 6.0 durante el proceso de autenticaci�n, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

902160

(http://support.microsoft.com/kb/902160/ )

Recibe mensajes de error "HTTP Error 401" y intermitentemente no puede conectarse a un sitio Web que est� alojado en IIS 6.0

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 264921 - �ltima revisi�n: jueves, 05 de enero de 2012 - Versi�n: 0.1

La informaci�n de este art�culo se refiere a:

Servicios de Microsoft Internet Information Server 5.0
Servicios de Microsoft Internet Information Server 5.1
Servicios de Microsoft Internet Information Server 6.0
Microsoft Internet Information Services 7.0
Microsoft Internet Information Services 7.5
Microsoft Internet Explorer 6.0
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Internet Explorer 9 on Windows Server

kbinfo kbmt KB264921 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 264921

(http://support.microsoft.com/kb/264921/en-us/ )

Volver al principio | Enviar comentarios