Comment IIS authentifie les clients navigateur

Traductions disponibles Traductions disponibles
Numéro d'article: 264921 - Voir les produits auxquels s'applique cet article
Nous recommandons fortement que tous les utilisateurs mettre à niveau vers les Services Internet (IIS) version 7.0 s'exécutant sur Windows Server 2008. IIS 7.0 augmente considérablement la sécurité de l'infrastructure web. Pour plus d'informations sur les questions liées à la sécurité IIS, reportez-vous au site Web de Microsoft suivant :
http://www.Microsoft.com/technet/security/prodtech/IIS.mspx
Pour plus d'informations sur IIS 7.0, accédez au site Web de Microsoft suivant :
http://www.IIS.NET/default.aspx?tabid=1
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit les différentes méthodes d'authentification disponibles dans IIS pour Windows NT 4.0 et Windows 2000. Pour une description plus complète des informations dont il sont question dans cet article, consultez les Guides de ressources Windows 2000 et de Windows NT 4.0.

Plus d'informations

Méthodes d'authentification disponibles pour Windows NT 4.0

Anonyme - aucune ouverture de session est requise et tout le monde est autorisé à accéder aux données protégées avec cette méthode. Le serveur utilise un compte (IUSR_ [nom_ordinateur] par défaut) pour contrôler les autorisations sur les fichiers. Le navigateur n'envoie pas les informations d'identification ou Infos d'utilisateur avec ce type de demande.
  • Navigateurs pris en charge : tout
  • Limitations : aucun
  • Droits d'utilisateur requis : Le compte d'utilisateur anonyme défini sur le serveur doit avoir des autorisations « Ouvrir une session localement ».
  • Type de cryptage : aucun
De base (texte en clair) - le serveur demande à l'utilisateur pour ouvrir une session et une boîte de dialogue s'affiche dans le navigateur qui permet à l'utilisateur d'entrer les informations d'identification qui sont nécessaires. Ces informations doivent correspondre les informations d'identification de l'utilisateur définies sur les fichiers que l'utilisateur tente d'accéder.
  • Navigateurs pris en charge : tout
  • Limitations : Pas très sécurisée. Les mots de passe sont facilement déchiffrables.
  • Droits d'utilisateur requis : Le compte d'utilisateur doit avoir des autorisations « Ouvrir une session localement ».
  • Type de cryptage : Codage en Base 64 (aucun chiffrement réel)
Stimulation/réponse de Windows NT - le serveur demande à l'utilisateur pour ouvrir une session. Si le navigateur prend en charge Windows NT Challenge/Response, il envoie automatiquement les informations d'identification de l'utilisateur si l'utilisateur n'est connecté. Si le domaine auquel l'utilisateur est connecté est différent de celui du serveur, ou si l'utilisateur n'est pas connecté, une boîte de dialogue s'affiche demandant les informations d'identification à envoyer. Stimulation/réponse de Windows NT utilise un algorithme pour générer un hachage basé sur les informations d'identification de l'utilisateur et l'ordinateur à l'aide de l'utilisateur. Il envoie ensuite ce hachage au serveur. Le navigateur n'envoie pas le mot de passe entre sur le serveur.
  • Prises en charge par les navigateurs : Internet Explorer 3.01 et versions ultérieures
  • Limitations : Nécessite une connexion point à point. En général, un circuit est fermé après une erreur « 401 non autorisé » du message ; Toutefois, lors de la négociation d'une séquence d'authentification Windows NT Challenge/Response (qui nécessite plusieurs allers-retours), le serveur laisse le circuit ouvert pour la durée de la séquence si le client a indiqué qu'il utilisera Windows NT Challenge/Response. Les proxies CERN et certains autres périphériques Internet éviter ce travail. En outre, stimulation/réponse de Windows NT ne gère pas les emprunts (dans la mesure où une fois passées au serveur IIS, les mêmes informations d'identification ne peut pas être passées à un serveur principal pour l'authentification).
  • Droits d'utilisateur requis : Le compte d'utilisateur qui accède au serveur doit avoir des autorisations « Accéder à cet ordinateur à partir du réseau ».
  • : Le Type de chiffrement algorithme de hachage NTLM qui est également décodé.
Ordres de priorité : Quand le navigateur effectue une demande, il considère toujours la première requête comme anonyme. Par conséquent, il n'envoie pas d'informations d'identification. Si le serveur n'accepte pas anonyme ou si le compte d'utilisateur anonyme défini sur le serveur n'a pas les autorisations pour le fichier demandé, le serveur IIS répond avec un message d'erreur « Accès refusé » et envoie une liste des types d'authentification pris en charge à l'aide d'un des scénarios suivants :
  • Si Windows NT Challenge/Response est la seule prise en charge de la méthode (ou si anonyme échoue), puis le navigateur doit prendre en charge cette méthode pour communiquer avec le serveur. Dans le cas contraire, il ne peut pas négocier avec le serveur et l'utilisateur reçoit un message d'erreur « Accès refusé ».
  • Si Basic est la seule prise en charge de la méthode (ou si anonyme échoue), puis une boîte de dialogue s'affiche dans le navigateur pour obtenir les informations d'identification, puis il transmet ensuite ces informations d'identification au serveur. Il tente d'envoyer ces informations d'identification trois fois au maximum. En cas d'échec, le navigateur n'est pas connecté au serveur.
  • Si Basic et Windows NT Challenge/Response sont pris en charge, le navigateur détermine la méthode utilisée. Si le navigateur prend en charge Windows NT Challenge/Response, il utilise cette méthode et ne tombe pas dans Basic. Si Windows NT Challenge/Response n'est pas pris en charge, le navigateur utilise Basic.
Remarques
  • Lorsque votre navigateur établit une connexion avec un site Web à l'aide de l'authentification de base ou NTLM, il ne passe pas au mode anonyme durant le reste de cette session avec le serveur. Si vous essayez de vous connecter à une page Web marquée anonyme uniquement après l'authentification, vous sera refusé. (Cela peut ou ne peut pas avoir la valeur true pour Netscape).
  • Lorsque Internet Explorer a établi une connexion avec le serveur à l'aide de l'authentification de base ou NTLM, il transmet les informations d'identification pour chaque nouvelle demande pendant la durée de la session.

Méthodes d'authentification disponibles pour Windows 2000 et supérieur

Anonyme - aucune ouverture de session est requise et tout le monde est autorisé à accéder aux données protégées avec cette méthode. Le serveur utilise un compte (IUSR_ [nom_ordinateur] par défaut) pour contrôler les autorisations sur les fichiers. Le navigateur n'envoie pas les informations d'identification ou Infos d'utilisateur avec ce type de demande.
  • Navigateurs pris en charge : tout
  • Limitations : aucun
  • Droits d'utilisateur requis : Le compte d'utilisateur anonyme défini sur le serveur doit avoir des autorisations « Ouvrir une session localement ».
  • Type de cryptage : aucun
De base (texte en clair) - le serveur demande à l'utilisateur pour ouvrir une session et une boîte de dialogue s'affiche dans le navigateur qui permet à l'utilisateur d'entrer les informations d'identification qui sont nécessaires. Ces informations doivent correspondre les informations d'identification de l'utilisateur définies sur les fichiers que l'utilisateur tente d'accéder.
  • Navigateurs pris en charge : tout
  • Limitations : Pas très sécurisée. Les mots de passe sont facilement déchiffrables.
  • Droits d'utilisateur requis : Le compte d'utilisateur doit avoir des droits « Ouvrir une session localement »
  • Type de cryptage : Codage en Base 64 (aucun chiffrement réel)
Résumé - le serveur demande à l'utilisateur pour ouvrir une session et envoie également un NONCE utilisé pour crypter le mot de passe. Le navigateur utilise le NONCE pour crypter le mot de passe et l'envoie au serveur. Ensuite, le serveur crypte sa propre copie du mot de passe de l'utilisateur et compare les deux. Si elles correspondent et que l'utilisateur dispose d'autorisations, l'accès est accordé.
  • Prise en charge des navigateurs : Microsoft Internet Explorer 5 et versions ultérieures
  • Limitations : Pas comme sécurisée que l'authentification intégrée. Exige que le serveur ait accès à un serveur Active Directory qui est configuré pour l'authentification Digest.
  • Droits d'utilisateur requis : Requiert des mots de passe pour avoir "Save password as encrypted Clear Text"
  • Type de cryptage : Basé sur NONCE envoyé par serveur.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
222028 Configuration de l'authentification Digest pour une utilisation avec Internet Information Services 5.0
Fortezza - pour utiliser la sécurité Fortezza avec IIS 5.0, vous devez disposer d'un fichier de fournisseur de services cryptographiques API (CSP) approprié à partir d'un fournisseur Fortezza tel que http://www.spyrus.com.

Windows Integrated (divisé en deux sous-catégories)
Kerberos - le serveur demande à un utilisateur d'ouvrir une session. Si le navigateur prend en charge Kerberos, le texte suivant a lieu :
  • IIS demande l'authentification.
  • Si le client n'est pas connecté à un domaine, une boîte de dialogue apparaît dans Internet Explorer demandant les informations d'identification, puis contacte le KDC pour demander et recevoir un Ticket d'accord de Ticket. Il envoie ensuite ce Ticket avec les informations sur le serveur IIS au KDC.
  • Si le Client Internet Explorer a déjà ouvert une session sur le domaine et reçu un TGT, il envoie ce ticket avec les informations sur le serveur IIS au KDC
  • Le KDC délivre au client un Ticket de ressources.
  • Le Client communique ce ticket au serveur IIS.
Kerberos utilise des tickets générés sur un serveur d'octroi de Ticket (KDC) pour l'authentification. Il envoie ce ticket au serveur IIS. Le navigateur n'envoie pas le mot de passe entre sur le serveur.
  • Prises en charge par les navigateurs : Les versions Internet Explorer 5.0 et versions ultérieures
  • Limitations : le serveur doit avoir accès à un serveur Active Directory. Le serveur et le client doivent avoir une connexion approuvée à un KDC.
  • Droits d'utilisateur requis : Le compte d'utilisateur anonyme défini sur le serveur doit avoir des autorisations « Ouvrir une session localement ».
  • Type de cryptage : cryptée du ticket.
Stimulation/réponse de Windows NT - le serveur demande à l'utilisateur pour ouvrir une session. Si le navigateur prend en charge Windows NT Challenge/Response, il envoie automatiquement les informations d'identification de l'utilisateur si l'utilisateur n'est connecté. Si le domaine auquel l'utilisateur est connecté est différent de celui du serveur, ou si l'utilisateur n'est pas connecté, une boîte de dialogue apparaît dans Internet Explorer demandant les informations d'identification à envoyer. Stimulation/réponse de Windows NT utilise un algorithme pour générer un hachage basé sur les informations d'identification de l'utilisateur et l'ordinateur à l'aide de l'utilisateur. Il envoie ensuite ce hachage au serveur. Le navigateur n'envoie pas le mot de passe entre sur le serveur.
  • Prises en charge par les navigateurs : Internet Explorer 3.01 et versions ultérieures.
  • Limitations : Nécessite une connexion point à point. En général, un circuit est fermé après une erreur « 401 non autorisé » du message ; Toutefois, lors de la négociation d'une séquence d'authentification Windows NT Challenge/Response (qui nécessite plusieurs allers-retours), le serveur laisse le circuit ouvert pour la durée de la séquence si le client a indiqué qu'il utilisera Windows NT Challenge/Response. Les proxies CERN et certains autres périphériques Internet éviter ce travail. En outre, Windows NT Challenge/Response ne gère pas les emprunts (ce qui signifie qu'une fois passées au serveur IIS, les mêmes informations d'identification ne peut pas être passées à un serveur principal pour l'authentification, par exemple, lorsque IIS utilise Windows NT Challenge/Response, il ne peut pas puis authentifie l'utilisateur par rapport à une base de données SQL Server sur un autre ordinateur en utilisant la sécurité intégrée de SQL).
  • Droits d'utilisateur requis : Le compte d'utilisateur accédant au serveur doit avoir des autorisations « Accéder à cet ordinateur à partir du réseau ».
  • : Le Type de chiffrement algorithme de hachage NTLM qui est également décodé.
Ordres de priorité :Quand le navigateur effectue une demande, il considère toujours la première requête comme anonyme. Par conséquent, il n'envoie pas d'informations d'identification. Si le serveur n'accepte pas anonyme ou si le compte d'utilisateur anonyme défini sur le serveur n'a pas les autorisations pour le fichier demandé, le serveur IIS répond avec un message d'erreur « Accès refusé » et envoie une liste des types d'authentification pris en charge à l'aide d'un des scénarios suivants :
  • Si Windows Integrated est la seule prise en charge de la méthode (ou si anonyme échoue), puis le navigateur doit prendre en charge cette méthode pour communiquer avec le serveur. Si cette opération échoue, le serveur n'essaie aucune des autres méthodes.
  • Si Basic est la seule méthode (ou si anonyme échoue), puis une boîte de dialogue s'affiche dans la pour obtenir les informations d'identification, puis les communique au serveur. Il tente d'envoyer les informations d'identification trois fois au maximum. En cas d'échec, le navigateur ne se connecte pas au serveur.
  • Si Basic et Windows Integrated sont prises en charge, le navigateur détermine la méthode utilisée. Si le navigateur prend en charge Kerberos ou stimulation/réponse de Windows NT, il utilise cette méthode. Il ne passe pas à Basic. Si Windows NT Challenge/Response et Kerberos ne sont pas pris en charge, le navigateur utilise Basic, Digest ou Fortezza si elle prend en charge. L'ordre de précédence ici est Basic, Digest, puis Fortezza.
Notes:
  • Lorsque votre navigateur établit une connexion avec un site Web à l'aide de l'authentification Basic ou Windows Integrated, il ne passe pas au mode anonyme durant le reste de cette session avec le serveur. Si vous essayez de vous connecter à une page Web marquée anonyme uniquement après l'authentification, vous est refusé. (Cela peut ou ne peut pas avoir la valeur true pour Netscape).
  • Lorsque Internet Explorer a établi une connexion avec le serveur à l'aide d'une méthode d'authentification autre qu'anonyme, il communique automatiquement les informations d'identification pour chaque nouvelle demande pendant la durée de la session.

Références

Pour plus d'informations sur la façon de configurer l'authentification des sites Web IIS dans Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
324274 Comment faire pour configurer l'authentification des sites Web IIS dans Windows Server 2003
Pour plus d'informations sur les problèmes qui peuvent se produire si un pool d'applications de site Web qui est hébergé sur IIS 6.0 est recyclé pendant le processus d'authentification, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
902160 Vous recevez « erreur HTTP 401 « messages d'erreur et vous par intermittence ne peut pas se connecter à un site Web qui est hébergé sur IIS 6.0

Propriétés

Numéro d'article: 264921 - Dernière mise à jour: lundi 18 novembre 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Mots-clés : 
kbinfo kbmt KB264921 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 264921
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com