Connexion

Select the product you need help with

Comment IIS authentifie les clients navigateur

Num�ro d'article: 264921 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Ancien n� de publication de cet article�: F264921

Nous vous recommandons vivement de mise � niveau de tous les utilisateurs � Microsoft Internet Information Services (IIS) version 7.0 s'ex�cutant sur Microsoft Windows Server 2008. IIS 7.0 augmente consid�rablement la s�curit� d'infrastructure Web. Pour plus d'informations sur les questions li�es � la s�curit� IIS, reportez-vous au site Web de Microsoft � l'adresse suivante :

http://www.Microsoft.com/technet/security/prodtech/IIS.mspx

(http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

Pour plus d'informations sur IIS 7.0, reportez-vous au site Web de Microsoft � l'adresse suivante :

http://www.IIS.net/default.aspx?tabid=1

(http://www.iis.net/default.aspx?tabid=1)

Agrandir tout | R�duire tout

Sommaire

R�sum�

Cet article d�crit les diff�rentes m�thodes d'authentification qui sont disponibles dans IIS pour Microsoft Windows NT 4.0 et Microsoft Windows 2000. Pour une description plus compl�te des informations pr�sent�es dans cet article, consultez le Windows NT 4.0 et les Guides de ressources Windows 2000.

Retour au d�but | Envoyer des commentaires

Plus d'informations

M�thodes d'authentification qui sont disponibles pour Windows NT 4.0

Anonyme -Aucune ouverture de session n'est requise et tout le monde est autoris� � acc�der aux donn�es prot�g�es avec cette m�thode. Le serveur utilise un compte (IUSR_ [nom_ordinateur] par d�faut) pour contr�ler les autorisations sur les fichiers. Le navigateur n'envoie pas d'identification ou les informations utilisateur avec ce type de demande.

Navigateurs pris en charge : toutes
Limitations : aucun
Droits d'utilisateur requis : Le compte utilisateur anonyme d�fini sur le serveur doit avoir des autorisations � Ouvrir une session localement �.
Type de cryptage : aucun

Base (texte en clair) -Le serveur demande � l'utilisateur pour ouvrir une session et une bo�te de dialogue s'affiche dans le navigateur qui permet � l'utilisateur d'entrer les informations d'identification sont n�cessaires. Ces informations d'identification doivent correspondre les informations d'identification utilisateur d�finies sur les fichiers de l'utilisateur tente d'acc�der.

Navigateurs pris en charge : toutes
Limitations : Pas tr�s s�r. Mots de passe sont facilement d�chiffrables.
Droits d'utilisateur requis : Le compte d'utilisateur doit avoir des autorisations � Ouvrir une session localement �.
Type de cryptage : Codage en Base 64 (aucun chiffrement r�el)

Stimulation/r�ponse Windows NT -Le serveur demande � l'utilisateur pour ouvrir une session. Si le navigateur prend en charge Windows NT Challenge/Response, il envoie automatiquement les informations d'identification si l'utilisateur est connect�. Si le domaine auquel l'utilisateur est connect� est diff�rent de celui du serveur, ou si l'utilisateur n'est pas connect�, une bo�te de dialogue appara�t demandant les informations d'identification � envoyer. Windows NT Challenge/Response utilise un algorithme pour g�n�rer un hachage bas� sur les informations d'identification de l'utilisateur et l'ordinateur � l'aide de l'utilisateur. Il envoie ensuite ce hachage au serveur. Le navigateur n'envoie pas de mot de passe de l'utilisateur entre sur le serveur.

Navigateurs pris en charge : Internet Explorer 3.01 et versions ult�rieures
Limitations : N�cessite une connexion point � point. En r�gle g�n�rale, un circuit est ferm� apr�s une erreur � 401 unauthorized � du message ; Toutefois, lors de la n�gociation d'une s�quence d'authentification stimulation/r�ponse Windows NT (qui n�cessite plusieurs allers-retours), le serveur laisse le circuit ouvert pour la dur�e de la s�quence une fois que le client a indiqu� qu'il utilisera Windows NT Challenge/Response. Les proxys CERN et certains autres p�riph�riques Internet emp�chent ce travail. En outre, Windows NT Challenge/Response ne supporte pas les emprunts (dans la mesure o� une fois transmis au serveur IIS, les m�mes informations d'identification ne peut pas �tre transmises � un serveur de back-end pour l'authentification).
Droits d'utilisateur requis : Le compte d'utilisateur qui acc�de au serveur doit avoir des autorisations � Acc�der � cet ordinateur � partir du r�seau �.
Type de cryptage : Algorithme de hachage NTLM est �galement d�cod�.

Ordres de priorit� :Lorsque le navigateur soumet une requ�te, il consid�re toujours la premi�re demande comme anonyme. Par cons�quent, il n'envoie pas d'informations d'identification. Si le serveur n'accepte pas anonyme ou si le compte utilisateur anonyme d�fini sur le serveur n'a pas d'autorisations pour le fichier demand�, le serveur IIS r�pond avec un message d'erreur � Acc�s refus� � et envoie une liste des types d'authentification pris en charge en utilisant l'un des sc�narios suivants :

Si Windows NT Challenge/Response est la seule prise en charge de la m�thode (ou si anonyme �choue), puis le navigateur doit prendre en charge cette m�thode pour communiquer avec le serveur. Dans le cas contraire, il ne peut pas n�gocier avec le serveur et l'utilisateur re�oit un message d'erreur � Acc�s refus� �.
Si Basic est la seule prise en charge de la m�thode (ou si anonyme �choue), puis une bo�te de dialogue s'affiche dans le navigateur pour obtenir les informations d'identification et transmet ensuite ces informations d'identification pour le serveur. Il tente d'envoyer ces informations d'identification trois fois. En cas d'�chec, le navigateur n'est pas connect� au serveur.
Si Basic et Windows NT Challenge/Response sont pris en charge, le navigateur d�termine quelle m�thode est utilis�e. Si le navigateur prend en charge Windows NT Challenge/Response, il utilise cette m�thode et ne tombe pas dans Basic. Si Windows NT Challenge/Response n'est pas pris en charge, le navigateur utilise Basic.

Notes:

Lorsque votre navigateur �tablit une connexion avec un site Web en utilisant l'authentification de base ou NTLM, il ne passe pas au mode Anonyme durant le reste de cette session avec le serveur. Si vous essayez de vous connecter � une page Web marqu�e anonyme uniquement apr�s l'authentification, vous sera refus�. (Cela peut ou ne peut pas contenir true pour Netscape).
Lorsque Internet Explorer a �tabli une connexion avec le serveur en utilisant l'authentification de base ou NTLM, il transmet les informations d'identification pour chaque nouvelle demande pour la dur�e de la session.

M�thodes d'authentification qui sont disponibles pour Windows 2000 et sup�rieur

Navigateurs pris en charge : toutes
Limitations : aucun
Droits d'utilisateur requis : Le compte utilisateur anonyme d�fini sur le serveur doit avoir des autorisations � Ouvrir une session localement �.
Type de cryptage : aucun

Navigateurs pris en charge : toutes
Limitations : Pas tr�s s�curis�e. Mots de passe sont facilement d�chiffrables.
Droits d'utilisateur requis : Le compte d'utilisateur doit avoir des droits � Ouvrir une session localement �
Type de cryptage : Codage en Base 64 (aucun chiffrement r�el)

Digest -Le serveur demande � l'utilisateur pour ouvrir une session et envoie �galement un NONCE utilis� pour chiffrer le mot de passe. Le navigateur utilise le NONCE pour crypter le mot de passe et l'envoie au serveur. Le serveur puis crypte sa propre copie du mot de passe de l'utilisateur et compare les deux. Si elles correspondent et que l'utilisateur dispose des autorisations, l'acc�s est accord�.

Navigateurs pris en charge : Internet Explorer 5 et versions ult�rieures
Limitations : Non comme s�curis� que Integrated. Exige que le serveur d'acc�der � un serveur Active Directory qui est configur� pour l'authentification Digest.
Droits d'utilisateur requis : Requiert des mots de passe pour que � Enregistrer le mot de passe en texte clair"
Type de cryptage : Bas� sur NONCE envoy� par le serveur.

Pour plus d'informations, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

222028

(http://support.microsoft.com/kb/222028/ )

Configuration de l'authentification Digest pour une utilisation avec Internet Information Services 5.0

Fortezza -Pour utiliser la s�curit� Fortezza avec IIS 5.0, vous devez disposer d'un fichier Cryptographic API Service Provider (CSP) appropri�e � partir d'un fournisseur Fortezza tel que http://www.spyrus.com.

Windows Integrated (divis� en deux sous-cat�gories)
Kerberos -Le serveur demande un utilisateur de se connecter. Si le navigateur prend en charge Kerberos, les �l�ments suivants a lieu :

IIS demande l'authentification.
Si le client n'est pas connect� � un domaine, une bo�te de dialogue s'affiche dans Internet Explorer demandant les informations d'identification et puis contacte le KDC pour demander et recevoir un Ticket d'accord de Ticket. Il envoie ensuite ce Ticket avec les informations sur le serveur IIS au KDC.
Si le Client IE a d�j� connect� au domaine et a re�u un Ticket d'accord de Ticket, il envoie ce ticket avec les informations sur le serveur IIS au KDC
Le KDC d�livre au client un Ticket de ressources.
Le Client communique ce ticket au serveur IIS.

Kerberos utilise des tickets g�n�r�s sur un serveur d'octroi de Ticket (KDC) pour authentifier. Il envoie ce ticket au serveur IIS. Le navigateur n'envoie pas de mot de passe de l'utilisateur entre sur le serveur.

Navigateurs pris en charge : Internet Explorer versions 5.0 et ult�rieures
Restrictions : le serveur doit avoir acc�s � un serveur Active Directory. Le serveur et le client doivent avoir une connexion approuv�e � un KDC.
Droits d'utilisateur requis : Le compte utilisateur anonyme d�fini sur le serveur doit avoir des autorisations � Ouvrir une session localement �.
Type de cryptage : crypt�e du ticket.

Stimulation/r�ponse Windows NT -Le serveur demande � l'utilisateur pour ouvrir une session. Si le navigateur prend en charge Windows NT Challenge/Response, il envoie automatiquement les informations d'identification si l'utilisateur est connect�. Si le domaine auquel l'utilisateur est connect� est diff�rent de celui du serveur, ou si l'utilisateur n'est pas connect�, une bo�te de dialogue s'affiche dans Internet Explorer demandant les informations d'identification � envoyer. Windows NT Challenge/Response utilise un algorithme pour g�n�rer un hachage bas� sur les informations d'identification de l'utilisateur et l'ordinateur � l'aide de l'utilisateur. Il envoie ensuite ce hachage au serveur. Le navigateur n'envoie pas de mot de passe de l'utilisateur entre sur le serveur.

Navigateurs pris en charge : Internet Explorer 3.01 et versions ult�rieures.
Limitations : N�cessite une connexion point � point. En r�gle g�n�rale, un circuit est ferm� apr�s une erreur � 401 unauthorized � du message ; Toutefois, lors de la n�gociation d'une s�quence d'authentification stimulation/r�ponse Windows NT (qui n�cessite plusieurs allers-retours), le serveur laisse le circuit ouvert pour la dur�e de la s�quence une fois que le client a indiqu� qu'il utilisera Windows NT Challenge/Response. Les proxys CERN et certains autres p�riph�riques Internet emp�chent ce travail. En outre, Windows NT Challenge/Response ne g�re pas les emprunts (ce qui signifie qu'une fois transmis au serveur IIS, les m�mes informations d'identification ne peut pas �tre pass�es � un serveur dorsal pour l'authentification, par exemple, lorsque IIS utilise Windows NT Challenge/Response, il ne peut pas puis authentifier l'utilisateur par rapport � une base de donn�es SQL Server sur un autre ordinateur en utilisant la s�curit� int�gr�e de SQL).
Droits d'utilisateur requis : Le compte d'utilisateur acc�dant au serveur doit avoir des autorisations � Acc�der � cet ordinateur � partir du r�seau �.
Type de cryptage : Algorithme de hachage NTLM est �galement d�cod�.

Ordres de priorit� :Lorsque le navigateur soumet une requ�te, il consid�re toujours la premi�re demande comme anonyme. Par cons�quent, il n'envoie pas d'informations d'identification. Si le serveur n'accepte pas anonyme ou si le compte d'utilisateur anonyme d�fini sur le serveur n'a pas d'autorisations pour le fichier demand�, le serveur IIS r�pond avec un message d'erreur � Acc�s refus� � et envoie une liste des types d'authentification pris en charge en utilisant l'un des sc�narios suivants :

Si l'authentification int�gr�e Windows est la seule prise en charge de la m�thode (ou si anonyme �choue), puis le navigateur doit prendre en charge cette m�thode pour communiquer avec le serveur. Si cela �choue, le serveur n'essaie aucune des autres m�thodes.
Si Basic est la seule m�thode (ou si anonyme �choue), puis une bo�te de dialogue s'affiche dans la pour obtenir les informations d'identification, puis les transmet au serveur. Il tente d'envoyer les informations d'identification trois fois. En cas d'�chec, le navigateur ne se connecte pas au serveur.
Si Basic et int�gr�e de Windows sont pris en charge, le navigateur d�termine quelle m�thode est utilis�e. Si le navigateur prend en charge Kerberos ou stimulation/r�ponse de Windows NT, il utilise cette m�thode. Il ne passe pas � Basic. Si Windows NT Challenge/Response et Kerberos ne sont pas pris en charge, le navigateur utilise Basic, Digest ou Fortezza si elle prend en charge ces. L'ordre de pr�c�dence ici est Basic, Digest puis Fortezza.

Notes:

Lorsque votre navigateur �tablit une connexion avec un site Web en utilisant l'authentification de base ou int�gr�e Windows, il ne passe pas au mode Anonyme durant le reste de cette session avec le serveur. Si vous essayez de vous connecter � une page Web marqu�e anonyme uniquement apr�s l'authentification, vous est refus�. (Cela peut ou ne peut pas contenir true pour Netscape).
Internet Explorer a �tabli une connexion avec le serveur � l'aide d'une m�thode d'authentification autre qu'anonyme, transmet automatiquement les informations d'identification pour chaque nouvelle demande pendant la dur�e de la session.

Retour au d�but | Envoyer des commentaires

R�f�rences

Pour plus d'informations sur la fa�on de configurer l'authentification de site Web IIS dans Windows Server 2003, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

324274

(http://support.microsoft.com/kb/324274/ )

Comment faire pour configurer l'authentification de site Web IIS dans Windows Server 2003

Pour plus d'informations sur les probl�mes qui peuvent se produire si un pool d'applications de site Web est h�berg� sur IIS 6.0 est recycl� pendant le processus d'authentification, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

902160

(http://support.microsoft.com/kb/902160/ )

Vous recevez des messages d'erreur � Erreur HTTP 401 � et par intermittence Impossible de se connecter � un site Web h�berg� sur IIS 6.0

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 264921 - Derni�re mise � jour: jeudi 5 janvier 2012 - Version: 0.1

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Internet Information Services 6.0
Microsoft Internet Information Services 7.0
Microsoft Internet Information Services 7.5
Microsoft Internet Explorer 6.0
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Internet Explorer 9

kbinfo kbmt KB264921 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 264921

(http://support.microsoft.com/kb/264921/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires