Bagaimana IIS mengotentikasi browser klien

Artikel ini menjelaskan metode otentikasi yang berbeda yang tersedia di dalam IIS untuk Microsoft Windows NT 4.0 dan Microsoft Windows 2000. Untuk keterangan lebih lengkap informasi yang dibahas dalam artikel ini, lihat Windows NT 4.0 dan Windows 2000 sumber daya panduan.

Metode otentikasi yang tersedia untuk Windows NT 4.0

Anonim -Logon tidak diperlukan dan orang diperbolehkan untuk mendapatkan akses ke data yang dilindungi dengan metode ini. Server menggunakan dibangun di account (IUSR_ [nama mesin] secara default) untuk mengendalikan hak akses pada file. Browser tidak mengirim kredensial atau info pengguna dengan jenis permintaan.

• Browser yang didukung: apapun
• Keterbatasan: tidak ada
• Hak-hak pengguna diperlukan: Account pengguna anonim yang didefinisikan pada server harus memiliki izin "Log pada lokal".
• Jenis enkripsi: tidak ada

Dasar (teks yang jelas) -Server meminta pengguna untuk masuk dan sebuah kotak dialog muncul dalam browser yang memungkinkan pengguna untuk memasukkan kredensial yang diperlukan. Mandat ini harus cocok dengan kredensial pengguna yang didefinisikan pada file yang pengguna mencoba untuk mengakses.

• Browser yang didukung: apapun
• Keterbatasan: Tidak sangat aman. Password mudah diuraikan.
• Hak-hak pengguna diperlukan: Account pengguna harus memiliki izin "Log pada lokal".
• Jenis enkripsi: Basis 64 Encoding (enkripsi tidak benar)

Windows NT tantangan/tanggapan -Server meminta pengguna untuk log on. Jika browser mendukung Windows NT tantangan/tanggapan, secara otomatis akan mengirimkan kredensial pengguna jika pengguna logon. Jika domain yang pengguna berbeda dari server domain, atau jika pengguna tidak logon, kotak dialog muncul meminta mandat untuk mengirim. Windows NT tantangan/tanggapan menggunakan algoritma untuk menghasilkan hash berdasarkan kredensial pengguna dan komputer yang pengguna menggunakan. Kemudian mengirim hash ini ke server. Browser tidak mengirim password pengguna di server.

• Browser yang didukung: Internet Explorer versi 3,01 dan kemudian
• Keterbatasan: Memerlukan point-to-point koneksi. Biasanya, rangkaian ditutup setelah "401 tidak sah" kesalahan pesan; Namun, ketika bernegosiasi barisan otentikasi Windows NT tantangan/tanggapan (yang memerlukan beberapa putaran perjalanan), server membuat sirkuit terbuka selama urutan setelah klien telah menunjukkan bahwa itu akan menggunakan Windows NT tantangan/tanggapan. CERN proxy dan tertentu perangkat Internet mencegah hal ini bekerja. Juga, Windows NT tantangan/tanggapan tidak mendukung ganda-hop menirukan (bahwa setelah berlalu ke IIS server, mandat yang sama tidak dapat dilewatkan ke back-end server untuk otentikasi).
• Hak-hak pengguna diperlukan: Account pengguna yang mengakses server harus memiliki izin "Akses komputer ini dari jaringan".
• Jenis enkripsi: NTLM Hash algoritma yang juga uuencoded.

Perintah protokoler:Ketika browser membuat permintaan, selalu mempertimbangkan permintaan pertama untuk menjadi anonim. Oleh karena itu, itu tidak mengirim kredensial apapun. Jika server tidak menerima anonim atau jika account pengguna anonim yang ditetapkan pada server tidak memiliki izin untuk berkas yang diminta, IIS server menanggapi dengan pesan galat "Akses ditolak" dan mengirimkan daftar jenis otentikasi yang didukung oleh menggunakan salah satu dari skenario berikut:

• Jika Windows NT tantangan/tanggapan adalah satu-satunya didukung metode (atau jika Anonymous gagal), maka browser harus mendukung metode ini untuk berkomunikasi dengan server. Jika tidak, itu tidak bisa bernegosiasi dengan server dan pengguna menerima pesan galat "Akses ditolak".
• Jika dasar satu-satunya didukung metode (atau jika Anonymous gagal), maka kotak dialog muncul di browser untuk mendapatkan kepercayaan, dan kemudian melewati surat-surat ini ke server. Mencoba untuk mengirim surat-surat ini hingga tiga kali. Jika semua ini gagal, browser tidak terhubung ke server.
• Jika dasar dan Windows NT tantangan/tanggapan didukung, browser menentukan metode yang digunakan. Jika browser mendukung Windows NT tantangan/tanggapan, menggunakan metode ini dan tidak jatuh kembali ke dasar. Jika Windows NT tantangan/tanggapan tidak didukung, browser ini menggunakan Basic.

Catatan:

• Ketika browser Anda menetapkan hubungan dengan situs Web dengan menggunakan otentikasi dasar atau NTLM, itu tidak jatuh kembali ke Anonymous selama sisa sesi dengan server. Jika Anda mencoba untuk menyambung ke halaman Web yang ditandai untuk anonim hanya setelah otentikasi, Anda akan ditolak. (Ini mungkin atau mungkin tidak berlaku untuk Netscape).
• Ketika Internet Explorer telah menetapkan sambungan dengan server dengan menggunakan otentikasi dasar atau NTLM, melewati mandat untuk setiap permintaan baru selama sesi.

Metode otentikasi yang tersedia untuk Windows 2000 dan di atas

Anonim -Logon tidak diperlukan dan orang diperbolehkan untuk mendapatkan akses ke data yang dilindungi dengan metode ini. Server menggunakan dibangun di account (IUSR_ [nama mesin] secara default) untuk mengendalikan hak akses pada file. Browser tidak mengirim kredensial atau info pengguna dengan jenis permintaan.

• Browser yang didukung: apapun
• Keterbatasan: tidak ada
• Hak-hak pengguna diperlukan: Account pengguna anonim yang didefinisikan pada server harus memiliki izin "Log pada lokal".
• Jenis enkripsi: tidak ada

Dasar (teks yang jelas) -Server meminta pengguna untuk masuk dan sebuah kotak dialog muncul dalam browser yang memungkinkan pengguna untuk memasukkan kredensial yang diperlukan. Mandat ini harus cocok dengan kredensial pengguna yang didefinisikan pada file yang pengguna mencoba untuk mengakses.

• Browser yang didukung: apapun
• Keterbatasan: Tidak sangat aman. Password mudah diuraikan.
• Hak-hak pengguna diperlukan: Account pengguna harus memiliki hak "Log pada lokal"
• Jenis enkripsi: Basis 64 Encoding (enkripsi tidak benar)

Digest -Server meminta pengguna untuk masuk dan juga mengirimkan kesempatan ini digunakan untuk mengenkripsi password. Browser menggunakan kesempatan ini untuk mengenkripsi password dan mengirimkan ini ke server. Server mengenkripsi salinan password pengguna kemudian membandingkan keduanya. Jika mereka cocok dan pengguna memiliki izin, akses diberikan.

• Browser yang didukung: Internet Explorer 5 dan versi
• Keterbatasan: Bukan sebagai aman sebagai terpadu. Memerlukan server untuk memiliki akses ke Server direktori aktif yang diatur untuk otentikasi Digest.
• Hak-hak pengguna diperlukan: Memerlukan password untuk memiliki "Save password terenkripsi jelas teks"
• Jenis enkripsi: Didasarkan pada kesempatan ini yang dikirim oleh server.

Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Fortezza -Untuk menggunakan Fortezza; keamanan dengan IIS 5.0, Anda perlu memiliki tepat kriptografi API layanan penyedia (CSP) file dari Fortezza; penyedia seperti http://www.spyrus.com.

Windows terpadu (dibagi menjadi dua sub kategori)
Kerberos -Server meminta pengguna untuk log on. Jika browser mendukung Kerberos, berikut terjadi:

• IIS permintaan otentikasi.
• Jika klien tidak logon ke domain, kotak dialog muncul di Internet Explorer meminta mandat, dan kemudian kontak KDC untuk meminta dan menerima tiket pemberian tiket. Itu kemudian mengirimkan pemberian tiket tiket bersama dengan informasi tentang IIS server untuk KDC.
• Jika IE klien telah berhasil login ke domain dan menerima tiket pemberian tiket, mengirimkan tiket ini bersama dengan info tentang IIS server untuk KDC
• KDC masalah klien tiket sumber daya.
• Klien mengirim tiket ini ke IIS server.

Kerberos menggunakan tiket yang dihasilkan pada tiket pemberian Server (KDC) untuk otentikasi. Itu mengirim tiket ini ke IIS server. Browser tidak mengirim password pengguna di server.

• Browser yang didukung: Internet Explorer versi 5.0 dan di atas
• Keterbatasan: server harus memiliki akses ke server Active Directory. Server dan klien harus terpercaya sambungan ke KDC.
• Hak-hak pengguna diperlukan: Account pengguna anonim yang didefinisikan pada server harus memiliki izin "Log pada lokal".
• Jenis enkripsi: dienkripsi tiket.

Windows NT tantangan/tanggapan -Server meminta pengguna untuk log on. Jika browser mendukung Windows NT tantangan/tanggapan, secara otomatis akan mengirimkan kredensial pengguna jika pengguna logon. Jika domain yang pengguna berbeda dari server domain, atau jika pengguna tidak logon, kotak dialog muncul di Internet Explorer meminta mandat untuk mengirim. Windows NT tantangan/tanggapan menggunakan algoritma untuk menghasilkan hash berdasarkan kredensial pengguna dan komputer yang pengguna menggunakan. Kemudian mengirim hash ini ke server. Browser tidak mengirim password pengguna di server.

• Browser yang didukung: Internet Explorer versi 3,01 dan kemudian.
• Keterbatasan: Memerlukan point-to-point koneksi. Biasanya, rangkaian ditutup setelah "401 tidak sah" kesalahan pesan; Namun, ketika bernegosiasi Windows NT tantangan/tanggapan otentikasi urutan (yang memerlukan beberapa putaran perjalanan), server membuat sirkuit terbuka selama urutan setelah klien telah menunjukkan bahwa itu akan menggunakan Windows NT tantangan/tanggapan. CERN proxy dan tertentu perangkat Internet mencegah hal ini bekerja. Juga, Windows NT tantangan/tanggapan tidak mendukung ganda-hop menirukan (berarti bahwa setelah berlalu ke IIS server, mandat yang sama tidak dapat dilewatkan ke back-end server untuk otentikasi, misalnya, ketika IIS menggunakan Windows NT tantangan/tanggapan, itu tidak dapat kemudian mengotentikasi pengguna terhadap database SQL Server di komputer lain dengan menggunakan SQL Integrated security).
• Hak-hak pengguna diperlukan: Account pengguna yang mengakses server harus memiliki izin "Akses komputer ini dari jaringan".
• Jenis enkripsi: NTLM Hash algoritma yang juga uuencoded.

Perintah protokoler:Ketika browser membuat permintaan, selalu mempertimbangkan permintaan pertama untuk menjadi anonim. Oleh karena itu, itu tidak mengirim kredensial apapun. Jika server tidak menerima anonim atau jika account pengguna anonim yang ditetapkan pada server tidak memiliki izin untuk berkas yang diminta, IIS server menanggapi dengan pesan galat "Akses ditolak" dan mengirimkan daftar jenis otentikasi yang didukung oleh menggunakan salah satu dari skenario berikut:

• Jika Windows terpadu adalah satu-satunya didukung metode (atau jika Anonymous gagal), maka browser harus mendukung metode ini untuk berkomunikasi dengan server. Jika gagal, server tidak mencoba salah satu metode lain.
• Jika dasar satu-satunya didukung metode (atau jika Anonymous gagal), kemudian kotak dialog muncul dalam untuk mendapatkan mandat, dan kemudian melewati ini ke server. Mencoba untuk mengirim kredensial hingga tiga kali. Jika semua ini gagal, browser tidak terhubung ke server.
• Jika dasar maupun Windows terpadu didukung, browser menentukan metode yang digunakan. Jika browser mendukung Kerberos atau Windows NT tantangan/tanggapan, menggunakan metode ini. Itu jatuh kembali ke dasar. Jika Windows NT tantangan/tanggapan dan Kerberos tidak didukung, browser menggunakan Basic, mencerna, atau Fortezza; jika mendukung ini. Urutan protokoler di sini adalah dasar, mencerna, dan kemudian Fortezza;.

Catatan:

• Ketika browser Anda menetapkan hubungan dengan situs Web dengan menggunakan otentikasi dasar atau Windows terintegrasi, itu tidak jatuh kembali ke Anonymous selama sisa sesi dengan server. Jika Anda mencoba untuk menyambung ke halaman Web yang ditandai untuk anonim hanya setelah otentikasi, Anda ditolak. (Ini mungkin atau mungkin tidak berlaku untuk Netscape).
• Ketika Internet Explorer telah menetapkan sambungan dengan server dengan menggunakan metode otentikasi selain Anonymous, secara otomatis melewati mandat untuk setiap permintaan baru selama durasi sesi.

Untuk informasi lebih lanjut tentang cara mengkonfigurasi IIS Web situs otentikasi pada Windows Server 2003, klik nomor artikel berikut ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Untuk informasi lebih lanjut tentang isu-isu yang mungkin terjadi jika kolam aplikasi situs Web yang di-host di IIS 6.0 mendaur ulang selama proses otentikasi, klik nomor artikel berikut ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: