IIS는 브라우저 클라이언트를 인증합니다.

이 문서에서는 IIS가 브라우저 클라이언트를 인증하는 방법을 소개합니다.

원래 제품 버전: Internet Explorer
원래 KB 번호: 264921

요약

이 문서에서는 Windows NT 4.0, Windows 2000 이상 Windows 버전용 IIS에서 사용할 수 있는 다양한 인증 방법을 설명합니다. 이 문서에서 설명하는 정보에 대한 자세한 설명은 Windows NT 4.0 및 Windows 2000 리소스 가이드를 참조하세요.

Windows NT 4.0에 사용할 수 있는 인증 방법

익명 - 로그온이 필요하지 않으며 누구나 이 방법으로 보호되는 데이터에 액세스할 수 있습니다. 서버는 기본 제공 계정(기본적으로 IUSR_[컴퓨터 이름])을 사용하여 파일에 대한 권한을 제어합니다. 브라우저는 이러한 유형의 요청으로 자격 증명 또는 사용자 정보를 보내지 않습니다.

  • 지원되는 브라우저: 모든
  • 제한 사항: 없음
  • 사용자 권한 필요: 서버에 정의된 익명 사용자 계정에 로컬 권한에 대한 로그 온이 있어야 합니다.
  • 암호화 유형: 없음

기본(텍스트 지우기) - 서버에서 사용자에게 로그온을 요청하고 사용자가 필요한 자격 증명을 입력할 수 있는 대화 상자가 브라우저에 나타납니다. 이러한 자격 증명은 사용자가 액세스하려는 파일에 정의된 사용자 자격 증명과 일치해야 합니다.

  • 지원되는 브라우저: 모든
  • 제한 사항: 안전하지 않습니다. 암호는 쉽게 해독할 수 있습니다.
  • 사용자 권한 필요: 사용자 계정에 로컬 권한에 대한 로그 온이 있어야 합니다.
  • 암호화 유형: 기본 64 인코딩(진정한 암호화 아님)

Windows NT 챌린지/응답 - 서버에서 사용자에게 로그온을 요청합니다. 브라우저에서 Windows NT Challenge/Response를 지원하는 경우 사용자가 로그온한 경우 자동으로 사용자의 자격 증명을 보냅니다. 사용자가 있는 도메인이 서버의 도메인과 다르거나 사용자가 로그온하지 않은 경우 보낼 자격 증명을 요청하는 대화 상자가 나타납니다. Windows NT Challenge/Response는 알고리즘을 사용하여 사용자의 자격 증명 및 사용자가 사용 중인 컴퓨터에 따라 해시를 생성합니다. 그런 다음 이 해시를 서버로 보냅니다. 브라우저는 사용자의 암호를 서버로 보내지 않습니다.

  • 지원되는 브라우저: Internet Explorer 버전 3.01 이상

  • 제한 사항: 지점 및 지점 연결이 필요합니다. 일반적으로 회로는 "401 권한 없음" 오류 메시지 후에 닫힙니다. 그러나 Windows NT 챌린지/응답 인증 시퀀스(여러 왕복 필요)를 협상할 때 클라이언트가 Windows NT Challenge/Response를 사용한다고 표시한 후 서버는 시퀀스 기간 동안 회로를 열어 둡니다. CERN 프록시 및 특정 다른 인터넷 디바이스는 이 기능이 작동하지 않도록 방지합니다. 또한 Windows NT Challenge/Response는 이중 홉 가장을 지원하지 않습니다(IIS 서버에 전달된 후에는 인증을 위해 동일한 자격 증명을 백 엔드 서버에 전달할 수 없음).

  • 사용자 권한 필요: 서버에 액세스하는 사용자 계정에는 "네트워크에서 이 컴퓨터에 액세스" 권한이 있어야 합니다.

  • 암호화 유형: 인코딩되지 않은 NTLM 해시 알고리즘입니다.

우선 순위: 브라우저가 요청을 할 때 항상 첫 번째 요청을 익명으로 간주합니다. 따라서 자격 증명을 보내지 않습니다. 서버에서 익명을 허용하지 않거나 서버에 설정된 익명 사용자 계정에 요청되는 파일에 대한 권한이 없는 경우 IIS 서버는 액세스 거부 오류 메시지로 응답하고 다음 시나리오 중 하나를 사용하여 지원되는 인증 유형 목록을 보냅니다.

  • Windows NT Challenge/Response가 유일하게 지원되는 방법(또는 익명이 실패하는 경우)인 경우 브라우저는 이 메서드를 지원하여 서버와 통신해야 합니다. 그렇지 않으면 서버와 협상할 수 없으며 사용자가 액세스 거부 오류 메시지를 받습니다.
  • Basic이 유일하게 지원되는 방법(또는 익명이 실패하는 경우)인 경우 브라우저에 자격 증명을 가져오는 대화 상자가 표시되고 이러한 자격 증명을 서버에 전달합니다. 최대 세 번까지 이러한 자격 증명을 보내려고 시도합니다. 이러한 모든 오류가 발생하면 브라우저가 서버에 연결되지 않습니다.
  • 기본 및 Windows NT 챌린지/응답이 모두 지원되는 경우 브라우저에서 사용되는 메서드를 결정합니다. 브라우저에서 Windows NT Challenge/Response를 지원하는 경우 이 메서드를 사용하며 기본으로 대체되지 않습니다. Windows NT Challenge/Response가 지원되지 않으면 브라우저에서 Basic을 사용합니다.

참고

  • 브라우저가 사용 또는 NTLM 인증을 사용하여 Basic 웹 사이트와의 연결을 설정하는 경우 서버와의 해당 세션의 나머지 기간 동안 익명으로 대체되지 않습니다. 인증 후에만 익명으로 표시된 웹 페이지에 연결하려고 하면 거부됩니다. (Netscape에 대해 true일 수도, 그렇지 않을 수도 있습니다).
  • Internet Explorer가 사용 또는 NTLM 인증을 사용하여 Basic 서버와의 연결을 설정한 경우 세션 기간 동안 모든 새 요청에 대한 자격 증명을 전달합니다.

Windows 2000 이상에서 사용할 수 있는 인증 방법

익명 - 로그온이 필요하지 않으며 누구나 이 방법으로 보호되는 데이터에 액세스할 수 있습니다. 서버는 기본 제공 계정(기본적으로 IUSR_[컴퓨터 이름])을 사용하여 파일에 대한 권한을 제어합니다. 브라우저는 이러한 유형의 요청으로 자격 증명 또는 사용자 정보를 보내지 않습니다.

  • 지원되는 브라우저: 모든
  • 제한 사항: 없음
  • 사용자 권한 필요: 서버에 정의된 익명 사용자 계정에는 "로컬로 로그온" 권한이 있어야 합니다.
  • 암호화 유형: 없음

기본(텍스트 지우기) - 서버에서 사용자에게 로그온을 요청하고 사용자가 필요한 자격 증명을 입력할 수 있는 대화 상자가 브라우저에 나타납니다. 이러한 자격 증명은 사용자가 액세스하려는 파일에 정의된 사용자 자격 증명과 일치해야 합니다.

  • 지원되는 브라우저: 모든
  • 제한 사항: 안전하지 않습니다. 암호는 쉽게 해독할 수 있습니다.
  • 사용자 권한 필요: 사용자 계정에 로컬 권한에 대한 로그온이 있어야 합니다.
  • 암호화 유형: 기본 64 인코딩(진정한 암호화 아님)

다이제스트 - 서버는 사용자에게 로그온을 요청하고 암호를 암호화하는 데 사용되는 NONCE도 보냅니다. 브라우저는 NONCE를 사용하여 암호를 암호화하고 서버로 보냅니다. 그런 다음 서버는 사용자 암호의 자체 복사본을 암호화하고 두 복사본을 비교합니다. 일치하고 사용자에게 권한이 있는 경우 액세스 권한이 부여됩니다.

  • 지원되는 브라우저: Internet Explorer 5 이상 버전
  • 제한 사항: 통합만큼 안전하지 않습니다. 서버에 다이제스트 인증을 위해 설정된 Active Directory 서버에 대한 액세스 권한이 있어야 합니다.
  • 사용자 권한 필요: 암호에 "암호화된 지우기 텍스트로 암호 저장" 필요
  • 암호화 유형: 서버에서 보낸 NONCE를 기반으로 합니다.

Windows 통합(두 하위 범주로 분할)

Kerberos - 서버는 사용자에게 로그온을 요청합니다. 브라우저에서 Kerberos를 지원하는 경우 다음이 수행됩니다.

  • IIS는 인증을 요청합니다.
  • 클라이언트가 도메인에 로그온하지 않은 경우 자격 증명을 요청하는 Internet Explorer에 대화 상자가 표시되고 KDC에 문의하여 티켓 부여 티켓을 요청하고 받습니다. 그런 다음 IIS 서버에 대한 정보와 함께 티켓 부여 티켓을 KDC로 보냅니다.
  • IE 클라이언트가 이미 도메인에 성공적으로 로그인하고 티켓 부여 티켓을 받은 경우 IIS 서버에 대한 정보와 함께 이 티켓을 KDC로 보냅니다.
  • KDC는 클라이언트에 리소스 티켓을 발급합니다.
  • 클라이언트가 이 티켓을 IIS 서버에 전달합니다.

Kerberos는 KDC(Ticket Granting Server)에서 생성된 티켓을 사용하여 인증합니다. 이 티켓을 IIS 서버로 보냅니다. 브라우저는 사용자의 암호를 서버로 보내지 않습니다.

  • 지원되는 브라우저: Internet Explorer 버전 5.0 이상
  • 제한 사항: 서버에 Active Directory 서버에 대한 액세스 권한이 있어야 합니다. 서버와 클라이언트 모두 KDC에 대한 신뢰할 수 있는 연결이 있어야 합니다.
  • 사용자 권한 필요: 서버에 정의된 익명 사용자 계정에 로컬 권한에 대한 로그 온이 있어야 합니다.
  • 암호화 유형: 암호화된 티켓입니다.

Windows NT 챌린지/응답 - 서버에서 사용자에게 로그온을 요청합니다. 브라우저에서 Windows NT Challenge/Response를 지원하는 경우 사용자가 로그온한 경우 자동으로 사용자의 자격 증명을 보냅니다. 사용자가 있는 도메인이 서버의 도메인과 다르거나 사용자가 로그온하지 않은 경우 Internet Explorer에서 보낼 자격 증명을 요청하는 대화 상자가 나타납니다. Windows NT Challenge/Response는 알고리즘을 사용하여 사용자의 자격 증명 및 사용자가 사용 중인 컴퓨터에 따라 해시를 생성합니다. 그런 다음 이 해시를 서버로 보냅니다. 브라우저는 사용자의 암호를 서버로 보내지 않습니다.

  • 지원되는 브라우저: Internet Explorer 버전 3.01 이상.
  • 제한 사항: 지점 및 지점 연결이 필요합니다. 일반적으로 회로는 "401 권한 없음" 오류 메시지 후에 닫힙니다. 그러나 Windows NT 챌린지/응답 인증 시퀀스(여러 왕복 필요)를 협상할 때 클라이언트가 Windows NT Challenge/Response를 사용한다고 표시한 후 서버는 시퀀스 기간 동안 회로를 열어 둡니다. CERN 프록시 및 특정 다른 인터넷 디바이스는 이 기능이 작동하지 않도록 방지합니다. 또한 Windows NT Challenge/Response는 이중 홉 가장을 지원하지 않습니다(즉, IIS 서버에 전달되면 인증을 위해 동일한 자격 증명을 백 엔드 서버에 전달할 수 없습니다. 예를 들어 IIS에서 Windows NT Challenge/Response를 사용하는 경우 SQL 통합 보안을 사용하여 다른 컴퓨터의 SQL Server 데이터베이스에 대해 사용자를 인증할 수 없음).
  • 사용자 권한 필요: 서버에 액세스하는 사용자 계정에는 "네트워크에서 이 컴퓨터에 액세스" 권한이 있어야 합니다.
  • 암호화 유형: 인코딩되지 않은 NTLM 해시 알고리즘입니다.

우선 순위: 브라우저가 요청을 할 때 항상 첫 번째 요청을 익명으로 간주합니다. 따라서 자격 증명을 보내지 않습니다. 서버가 익명을 허용하지 않거나 서버에 설정된 익명 사용자 계정에 요청되는 파일에 대한 권한이 없는 경우 IIS 서버는 액세스 거부 오류 메시지로 응답하고 다음 시나리오 중 하나를 사용하여 지원되는 인증 유형 목록을 보냅니다.

  • Windows 통합이 유일하게 지원되는 방법(또는 익명이 실패하는 경우)인 경우 브라우저는 서버와 통신하기 위해 이 메서드를 지원해야 합니다. 이 오류가 발생하면 서버는 다른 메서드를 시도하지 않습니다.
  • Basic이 유일하게 지원되는 메서드(또는 익명이 실패하는 경우)인 경우 자격 증명을 가져오기 위한 대화 상자가 나타나고 서버에 전달됩니다. 자격 증명을 최대 세 번까지 보내려고 시도합니다. 이러한 모든 오류가 발생하면 브라우저가 서버에 연결되지 않습니다.
  • 기본 및 Windows 통합이 모두 지원되는 경우 브라우저는 사용되는 메서드를 결정합니다. 브라우저에서 Kerberos 또는 Windows NT Challenge/Response를 지원하는 경우 이 메서드를 사용합니다. 기본으로 대체되지 않습니다. Windows NT Challenge/Response 및 Kerberos가 지원되지 않는 경우 브라우저는 기본, 다이제스트 또는 Fortezza를 지원합니다. 여기서 우선 순위는 Basic, Digest 및 Fortezza입니다.

참고

  • 브라우저가 기본 또는 Windows 통합 인증을 사용하여 웹 사이트와의 연결을 설정하는 경우 서버와의 해당 세션의 나머지 기간 동안 익명으로 대체되지 않습니다. 인증 후에만 익명으로 표시된 웹 페이지에 연결하려고 하면 거부됩니다. (Netscape에 대해 true일 수도, 그렇지 않을 수도 있습니다).
  • Internet Explorer가 익명 이외의 인증 방법을 사용하여 서버와의 연결을 설정한 경우 세션 기간 동안 모든 새 요청에 대한 자격 증명을 자동으로 전달합니다.

참조

Windows Server 2003에서 IIS 웹 사이트 인증을 구성하는 방법에 대한 자세한 내용은 Windows Server 2003에서 IIS 웹 사이트 인증을 구성하는 방법을 참조하세요.