Come IIS esegue l'autenticazione dei client browser

Traduzione articoli Traduzione articoli
Identificativo articolo: 264921 - Visualizza i prodotti a cui si riferisce l?articolo.
╚ consigliabile che tutti gli utenti eseguire l'aggiornamento a Internet Information Services (IIS) versione 7.0 in esecuzione su Windows Server 2008. IIS 7.0 aumenta notevolmente la protezione dell'infrastruttura web. Per ulteriori informazioni su argomenti relativi alla protezione IIS, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Per ulteriori informazioni su IIS 7.0, visitare il seguente sito Web Microsoft:
http://www.IIS.NET/default.aspx?tabid=1
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono descritti i diversi metodi di autenticazione disponibili in IIS per Windows NT 4.0 e Windows 2000. Per una descrizione pi¨ completa delle informazioni descritte in questo articolo, vedere il Windows NT 4.0 e Windows 2000 Resource Guide.

Informazioni

Metodi di autenticazione disponibili per Windows NT 4.0

Anonimo - Nessun accesso Ŕ obbligatorio e chiunque pu˛ accedere ai dati protetti con questo metodo. Il server utilizza incorporata nell'account (IUSR _ [nome computer] per impostazione predefinita) per controllare le autorizzazioni per i file. Il browser non invia credenziali o delle informazioni utente con questo tipo di richiesta.
  • Browser supportati: qualsiasi
  • Limitazioni: nessuno
  • Diritti utente richiesti: L'account utente anonimo definito sul server deve disporre delle autorizzazioni di "Accesso locale".
  • Tipo di crittografia: nessuno
Base (testo non crittografato) - il server richiede all'utente di accedere e di una finestra di dialogo viene visualizzata nel browser che consente all'utente di immettere le credenziali necessarie. Queste credenziali devono corrispondere le credenziali dell'utente definite nei file che l'utente tenta di accedere.
  • Browser supportati: qualsiasi
  • Limitazioni: Non Ŕ molto sicuro. Le password possono essere decifrate con facilitÓ.
  • Diritti utente richiesti: L'account utente disponga delle autorizzazioni di "Accesso locale".
  • Tipo di crittografia: Codifica Base 64 (non vera e propria crittografia)
Challenge/Response di Windows NT - il server richiede all'utente di accedere. Se il browser supporta Windows NT Challenge/Response, invia automaticamente le credenziali dell'utente, se l'utente Ŕ connesso. Se il dominio a cui appartiene l'utente Ŕ diverso da quello del dominio del server o l'utente non Ŕ connesso, viene visualizzata una finestra di dialogo che richiede le credenziali da inviare. Challenge/Response di Windows NT utilizza un algoritmo per generare un hash in base alle credenziali dell'utente e il computer che l'utente sta utilizzando. Invia quindi l'hash del server. Il browser non invia la password dell'utente al server.
  • Browser supportati: Internet Explorer 3.01 e versioni successive
  • Limitazioni: Richiede una connessione punto-punto. In genere, il circuito viene chiuso dopo un errore "401 unauthorized" del messaggio; Tuttavia, durante la negoziazione di una sequenza di autenticazione Challenge/Response di Windows NT (che richiede pi¨ percorsi andata/ritorno), il server tiene aperto il circuito per la durata della sequenza dopo che il client ha indicato che utilizzerÓ il Challenge/Response di Windows NT. I proxy CERN e alcune altre periferiche Internet impediscono il funzionamento. Inoltre, Challenge/Response di Windows NT non supporta la rappresentazione del doppio hop (in quanto una volta passato al server IIS, non possono essere passate a un server back-end le stesse credenziali per l'autenticazione).
  • Diritti utente richiesti: L'account utente che accede al server disponga delle autorizzazioni di "Accesso al computer dalla rete".
  • Tipo crittografia: Algoritmo di Hash NTLM con codifica UUEncode.
Gli ordini di precedenza: Quando il browser effettua una richiesta, viene sempre considerata la prima richiesta anonima. Pertanto, invia le credenziali. Se il server non accetta anonimi oppure se l'account utente anonimo impostato sul server non dispone di autorizzazioni per il file richiesto, il server IIS risponde con un messaggio di errore "Accesso negato" e invia un elenco dei tipi di autenticazione supportati utilizzando uno dei seguenti scenari:
  • Se Windows NT Challenge/Response Ŕ l'unico supportato (oppure se non Ŕ anonimo), quindi il browser deve supportare questo metodo per comunicare con il server. In caso contrario, esso non pu˛ negoziare con il server e l'utente riceve un messaggio di errore "Accesso negato".
  • Se Basic Ŕ il solo supportato (oppure se non Ŕ anonimo), quindi nella finestra di dialogo viene visualizzata nel browser per ottenere le credenziali e quindi passa le credenziali al server. Tentativo di inviare queste credenziali fino a tre volte. Se non riesce, il browser non Ŕ connesso al server.
  • Se sono supportati Basic e Windows NT Challenge/Response, il browser determina quale metodo Ŕ utilizzato. Se il browser supporta Windows NT Challenge/Response, utilizza questo metodo e passa al Basic. Se non Ŕ supportato il Challenge/Response di Windows NT, il browser utilizza Basic.
Note
  • Quando il browser stabilisce una connessione con un sito Web utilizzando l'autenticazione di base o NTLM, esso non ritorna su anonimo durante il resto della sessione con il server. Se si tenta di connettersi a una pagina Web che Ŕ contrassegnata per l'accesso anonimo solo dopo l'autenticazione, sarÓ negato. (Questo pu˛ o non valere per Netscape).
  • Quando Internet Explorer ha stabilito una connessione con il server utilizzando l'autenticazione di base o NTLM, passa le credenziali per ogni nuova richiesta per la durata della sessione.

Metodi di autenticazione disponibili per Windows 2000 e versioni successive

Anonimo - Nessun accesso Ŕ obbligatorio e chiunque pu˛ accedere ai dati protetti con questo metodo. Il server utilizza incorporata nell'account (IUSR _ [nome computer] per impostazione predefinita) per controllare le autorizzazioni per i file. Il browser non invia credenziali o delle informazioni utente con questo tipo di richiesta.
  • Browser supportati: qualsiasi
  • Limitazioni: nessuno
  • Diritti utente richiesti: L'account utente anonimo definito sul server deve disporre delle autorizzazioni di "Accesso locale".
  • Tipo di crittografia: nessuno
Base (testo non crittografato) - il server richiede all'utente di accedere e di una finestra di dialogo viene visualizzata nel browser che consente all'utente di immettere le credenziali necessarie. Queste credenziali devono corrispondere le credenziali dell'utente definite nei file che l'utente tenta di accedere.
  • Browser supportati: qualsiasi
  • Limitazioni: Non Ŕ estremamente sicuro. Le password possono essere decifrate con facilitÓ.
  • Diritti utente richiesti: L'account utente deve disporre dei diritti di "Accesso locale"
  • Tipo di crittografia: Codifica Base 64 (non vera e propria crittografia)
Digest - il server richiede all'utente di accedere ed invia anche un NONCE utilizzato per crittografare la password. Il browser utilizza il NONCE per crittografare la password e inviarla al server. Il server quindi crittografa la propria copia della password dell'utente e confronta i due. Se corrispondono e l'utente disponga delle autorizzazioni, Ŕ concesso l'accesso.
  • Browser supportati: Internet Explorer 5 e versioni successive
  • Limitazioni: Non come protezione integrata. Richiede che il server di accedere ai Server di Active Directory Ŕ impostato per l'autenticazione del Digest.
  • Diritti utente richiesti: Servono le password per "salvare la password come testo crittografato"
  • Tipo di crittografia: Basata sul NONCE inviato dal server.

Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
222028 Impostazione di autenticazione del Digest per l'utilizzo con Internet Information Services 5.0
Fortezza - per utilizzare la protezione Fortezza con IIS 5.0, Ŕ necessario disporre di un file Cryptographic API Service Provider (CSP) appropriato da un provider Fortezza come http://www.spyrus.com.

Integrata di Windows (suddivisa in due sottocategorie)
Kerberos - il server richiede all'utente di accedere. Se il browser supporta Kerberos, avviene quanto segue:
  • IIS richiede l'autenticazione.
  • Se il client non Ŕ connesso a un dominio, una finestra di dialogo viene visualizzata in Internet Explorer che richiede le credenziali e quindi contatta il KDC per richiedere e ricevere un Ticket di concessione Ticket. Invia quindi il Ticket di concessione Ticket e le informazioni relative al server IIS il KDC.
  • Se il Client IE ha giÓ correttamente connesso al dominio e ha ricevuto un Ticket di concessione Ticket, il ticket unitamente alle informazioni relative al server IIS invia al KDC
  • Il KDC invia al client un Ticket di risorsa.
  • Il Client passa questo ticket al server IIS.
Kerberos utilizza ticket generati in Server dei Ticket di concessione (KDC) per l'autenticazione. Invia questo ticket al server IIS. Il browser non invia la password dell'utente al server.
  • Browser supportati: Internet Explorer versioni 5.0 e superiori
  • Limitazioni: il server deve avere accesso a un server di Active Directory. Il server e il client deve avere una connessione trusted a un KDC.
  • Diritti utente richiesti: L'account utente anonimo definito sul server deve disporre delle autorizzazioni di "Accesso locale".
  • Tipo di crittografia: crittografati ticket.
Challenge/Response di Windows NT - il server richiede all'utente di accedere. Se il browser supporta Windows NT Challenge/Response, invia automaticamente le credenziali dell'utente, se l'utente Ŕ connesso. Se il dominio a cui appartiene l'utente Ŕ diverso da quello del dominio del server o l'utente non Ŕ connesso, una finestra di dialogo viene visualizzata in Internet Explorer richiede le credenziali per l'invio. Challenge/Response di Windows NT utilizza un algoritmo per generare un hash in base alle credenziali dell'utente e il computer che l'utente sta utilizzando. Invia quindi l'hash del server. Il browser non invia la password dell'utente al server.
  • Browser supportati: Internet Explorer 3.01 e versioni successive.
  • Limitazioni: Richiede una connessione punto-punto. In genere, il circuito viene chiuso dopo un errore "401 unauthorized" del messaggio; Tuttavia, durante la negoziazione di una sequenza di autenticazione Challenge/Response di Windows NT (che richiede pi¨ percorsi andata/ritorno), il server tiene aperto il circuito per la durata della sequenza dopo che il client ha indicato che utilizzerÓ il Challenge/Response di Windows NT. I proxy CERN e alcune altre periferiche Internet impediscono il funzionamento. Inoltre, Challenge/Response di Windows NT non supporta la rappresentazione a doppio hop (vale a dire che una volta passato al server IIS, le stesse credenziali non possono essere passate a un server back-end per l'autenticazione, ad esempio, quando IIS utilizza Windows NT Challenge/Response, esso non pu˛ quindi autenticare l'utente in un database di SQL Server in un altro computer utilizzando la protezione integrata di SQL).
  • Diritti utente richiesti: L'account utente di accedere al server disponga delle autorizzazioni di "Accesso al computer dalla rete".
  • Tipo crittografia: Algoritmo di Hash NTLM con codifica UUEncode.
Gli ordini di precedenza:Quando il browser effettua una richiesta, viene sempre considerata la prima richiesta anonima. Pertanto, invia le credenziali. Se il server non accetta anonima o se l'account utente anonimo impostato sul server non dispone di autorizzazioni per il file richiesto, il server IIS risponde con un messaggio di errore "Accesso negato" e invia un elenco dei tipi di autenticazione supportati utilizzando uno dei seguenti scenari:
  • Se integrata di Windows Ŕ l'unico supportato (oppure se non Ŕ anonimo), quindi il browser deve supportare questo metodo per comunicare con il server. In caso di errore, il server non tenta di uno qualsiasi degli altri metodi.
  • Se Basic Ŕ il solo supportato (oppure se non Ŕ anonimo), quindi nella finestra di dialogo viene visualizzata nella per ottenere le credenziali e quindi le passa al server. Tentativo di inviare le credenziali fino a tre volte. Se non riesce, il browser non si connette al server.
  • Se sono supportati Basic e integrata di Windows, il browser determina quale metodo Ŕ utilizzato. Se il browser supporta Kerberos o Challenge/Response di Windows NT, utilizza questo metodo. Esso non ritorna a Basic. Se non sono supportati Challenge/Response di Windows NT e Kerberos, il browser utilizza Basic, Digest o Fortezza, se supportati. L'ordine di precedenza qui Ŕ Basic, Digest e quindi Fortezza.
Note:
  • Quando il browser stabilisce una connessione con un sito Web utilizzando l'autenticazione di base o integrata di Windows, esso non ritorna su anonimo durante il resto della sessione con il server. Se si tenta di connettersi a una pagina Web che Ŕ contrassegnata per l'accesso anonimo solo dopo l'autenticazione, viene negato. (Questo pu˛ o non valere per Netscape).
  • Quando Internet Explorer ha stabilito una connessione con il server utilizzando un metodo di autenticazione anonima, passa automaticamente le credenziali per ogni nuova richiesta durante la durata della sessione.

Riferimenti

Per ulteriori informazioni su come configurare l'autenticazione del sito Web IIS in Windows Server 2003, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
324274 Come configurare l'autenticazione del sito Web IIS in Windows Server 2003
Per ulteriori informazioni sui problemi che possono verificarsi se un pool di applicazioni del sito Web Ŕ ospitato su IIS 6.0 viene riciclato durante il processo di autenticazione, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
902160 Viene visualizzato "errore HTTP 401" messaggi di errore ed Ŕ talvolta Impossibile connettersi a un sito Web ospitato in IIS 6.0

ProprietÓ

Identificativo articolo: 264921 - Ultima modifica: martedý 19 novembre 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Chiavi:á
kbinfo kbmt KB264921 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 264921
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com