Como o IIS autentica os clientes de browser

Traduções de Artigos Traduções de Artigos
Artigo: 264921 - Ver produtos para os quais este artigo se aplica.
Recomendamos vivamente que todos os utilizadores actualizem para os ' Serviços de informação Internet ' (IIS) versão 7.0 em execução no Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança das infra-estruturas da web. Para mais informações sobre tópicos relacionados com a segurança do IIS, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Para mais informações sobre o IIS 7.0, vá para o seguinte Web site da Microsoft:
http://www.IIS.NET/default.aspx?TabId=1
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve os métodos de autenticação diferentes disponíveis no IIS para o Windows NT 4.0 e Windows 2000. Para obter uma descrição completa das informações que são discutidas neste artigo, consulte o Windows NT 4.0 e guias de recursos do Windows 2000.

Mais Informação

Métodos de autenticação disponíveis para o Windows NT 4.0

Anónimo - sem início de sessão é obrigatório e qualquer pessoa que tem permissão para aceder aos dados que estão protegidos com este método. O servidor utiliza um incorporada na conta (IUSR_ [nome do computador] por predefinição) para controlar as permissões nos ficheiros. O navegador não enviará quaisquer credenciais ou informações sobre o utilizador com este tipo de pedido.
  • Browsers suportados: qualquer
  • Limitações: nenhum
  • Direitos de utilizador necessários: A conta de utilizador anónimo definida no servidor tem de ter permissões de "Iniciar sessão localmente".
  • Tipo de encriptação: nenhum
Básica (texto simples) - o servidor pede ao utilizador para início de sessão e uma caixa de diálogo aparece no browser que permite ao utilizador introduzir as credenciais que são necessários. Estas credenciais têm de corresponder as credenciais de utilizador definidas nos ficheiros que o utilizador está a tentar aceder.
  • Browsers suportados: qualquer
  • Limitações: Muito segura. Palavras-passe são facilmente deciphered.
  • Direitos de utilizador necessários: A conta de utilizador tem de ter permissões de "Iniciar sessão localmente".
  • Tipo de encriptação: Codificação Base 64 (não é verdade encriptação)
Windows NT Challenge/Response - o servidor pede ao utilizador para iniciar sessão. Se o browser suporta o Windows NT Challenge/Response, envia automaticamente as credenciais do utilizador se o utilizador tiver sessão iniciada. Se o domínio que o utilizador está na é diferente do domínio do servidor, ou se o utilizador não tiver sessão iniciada, aparece uma caixa de diálogo a solicitar as credenciais para enviar. Windows NT Challenge/Response utiliza um algoritmo para gerar um hash com base nas credenciais do utilizador e o computador que o utilizador está a utilizar. Em seguida, envia este hash para o servidor. O navegador não enviará a senha do usuário através do servidor.
  • Browsers suportados: Internet Explorer versão 3.01 e posterior
  • Limitações: Requer ligação ponto a ponto. Normalmente, um circuito é fechado após um erro "401 não autorizado" da mensagem; No entanto, ao negociar uma sequência de autenticação do Windows NT Challenge/Response (que requer vários round trips), o servidor mantém o circuito aberto para a duração da sequência depois do cliente indicou que utilizará Challenge/Response do Windows NT. CERN proxies e certos outros dispositivos de Internet impedir isto de funcionar. Além disso, Windows NT Challenge/Response não suporta impersonations de saltos duplos (em que uma vez transmitido para o servidor IIS, as mesmas credenciais não podem ser transmitidas para um servidor back-end para a autenticação).
  • Direitos de utilizador necessários: A conta de utilizador que está a aceder ao servidor tem de ter permissões de "Acesso este computador a partir da rede".
  • Tipo de encriptação: Algoritmo de Hash NTLM que também é codificado em uuencoded.
Encomendas de prioridade: Quando o browser efectua um pedido, considere sempre o primeiro pedido ao ser anónimo. Por conseguinte, não enviará quaisquer credenciais. Se o servidor não aceitar anónimo ou se definir a conta de utilizador anónimo no servidor não tem permissões para o ficheiro pedido, o servidor IIS responde com uma mensagem de erro "Acesso negado" e envia uma lista dos tipos de autenticação que são suportados utilizando um dos seguintes cenários:
  • Se o Windows NT Challenge/Response é o único suportado método (ou se anónimo falha), em seguida, o browser tem de suportar este método para comunicar com o servidor. Caso contrário, este não consegue negociar com o servidor e o utilizador recebe uma mensagem de erro "Acesso negado".
  • Se for o único Basic suportado método (ou se anónimo falha), em seguida, uma caixa de diálogo aparece no browser para obter as credenciais e, em seguida, transmite estas credenciais para o servidor. Tenta enviar estas credenciais até três vezes. Se estes tudo falharem, o browser não está ligado ao servidor.
  • Se forem suportados Basic e Windows NT Challenge/Response, o browser determina o método utilizado. Se o browser suporta o Windows NT Challenge/Response, utiliza este método e não cair novamente para básico. Se o Windows NT Challenge/Response não é suportado, o browser utiliza Basic.
Notas
  • Quando o browser estabelece uma ligação com um Web site utilizando a autenticação base ou NTML, ele não reverter para anónimo durante o resto dessa sessão com o servidor. Se tentar ligar a uma página Web que está marcada para anónimo apenas depois de autenticar, será negado. (Isto pode ou não pode deter true para o Netscape).
  • Quando o Internet Explorer tiver estabelecido uma ligação com o servidor utilizando a autenticação base ou NTML, transmite as credenciais para cada pedido novo para a duração da sessão.

Métodos de autenticação disponíveis para o Windows 2000 e superior

Anónimo - sem início de sessão é obrigatório e qualquer pessoa que tem permissão para aceder aos dados protegidos com este método. O servidor utiliza um incorporada na conta (IUSR_ [nome do computador] por predefinição) para controlar as permissões nos ficheiros. O navegador não enviará quaisquer credenciais ou informações sobre o utilizador com este tipo de pedido.
  • Browsers suportados: qualquer
  • Limitações: nenhum
  • Direitos de utilizador necessários: A conta de utilizador anónimo definida no servidor tem de ter permissões de "Iniciar sessão localmente".
  • Tipo de encriptação: nenhum
Básica (texto simples) - o servidor pede ao utilizador para início de sessão e uma caixa de diálogo aparece no browser que permite ao utilizador introduzir as credenciais que são necessários. Estas credenciais têm de corresponder as credenciais de utilizador definidas nos ficheiros que o utilizador está a tentar aceder.
  • Browsers suportados: qualquer
  • Limitações: Não extremamente segura. Palavras-passe são facilmente deciphered.
  • Direitos de utilizador necessários: A conta de utilizador tem de ter direitos "Log on Locally"
  • Tipo de encriptação: Codificação Base 64 (não é verdade encriptação)
Condensada - o servidor pede ao utilizador para início de sessão e também envia um NONCE utilizado para encriptar a palavra-passe. O browser utiliza o NONCE para encriptar a palavra-passe e envia para o servidor. O servidor, em seguida, encripta a sua própria cópia de palavra-passe do utilizador e compara os dois. Se encontrarão uma correspondência e o utilizador tem permissões, é concedido acesso.
  • Browsers suportados: Internet Explorer 5 e versões posteriores
  • Limitações: Não como secure como integrados. Requer que o servidor ter acesso a um servidor Active Directory que está configurada para a autenticação condensada.
  • Direitos de utilizador necessários: Palavras-passe para que 'Guardar palavra-passe como texto simples encriptado"necessita
  • Tipo de encriptação: Baseia NONCE enviada pelo servidor.

Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
222028 Configurar a autenticação condensada para utilização com o Internet Information Services 5.0
Fortezza - utilizar a segurança do Fortezza no IIS 5.0, é necessário ter um ficheiro adequado do fornecedor de serviços de API criptográficos (CSP) de um fornecedor de Fortezza, como http://www.spyrus.com.

Integrada do Windows (dividir em duas categorias de sub)
Kerberos - o servidor pede um utilizador iniciar sessão. Se o navegador oferece suporte Kerberos, efectuar o seguinte:
  • Autenticação de pedidos do IIS.
  • Se o cliente não tiver iniciado sessão num domínio, uma caixa de diálogo é apresentada no Internet Explorer pedir credenciais e, em seguida, contacta o KDC para pedir e receber uma permissão de concessão de permissão. Em seguida, envia a permissão de concessão de permissão juntamente com informações sobre o servidor de IIS para o KDC.
  • Se o cliente do IE tem sessão iniciada no domínio e recebido uma permissão de concessão de autorização já com êxito, envia esta permissão juntamente com informações sobre o servidor IIS para o KDC
  • O KDC emite o cliente de uma autorização de recurso.
  • O cliente transmite este recibo para o servidor IIS.
Kerberos utiliza bilhetes gerados numa permissão de concessão de servidor (KDC) para autenticar. Envia esta senha para o servidor de IIS. O navegador não enviará a senha do usuário através do servidor.
  • Browsers suportados: Internet Explorer versões 5.0 e superior
  • Limitações: o servidor tem de ter acesso a um servidor de Active Directory. O servidor e o cliente tem de ter uma ligação fidedigna a um KDC.
  • Direitos de utilizador necessários: A conta de utilizador anónimo definida no servidor tem de ter permissões de "Iniciar sessão localmente".
  • Tipo de encriptação: encriptados permissão.
Windows NT Challenge/Response - o servidor pede ao utilizador para iniciar sessão. Se o browser suporta o Windows NT Challenge/Response, envia automaticamente as credenciais do utilizador se o utilizador tiver sessão iniciada. Se o domínio que o utilizador está na é diferente do domínio do servidor, ou se o utilizador não tiver sessão iniciada, aparece uma caixa de diálogo no Internet Explorer pedir as credenciais para enviar. Windows NT Challenge/Response utiliza um algoritmo para gerar um hash com base nas credenciais do utilizador e o computador que o utilizador está a utilizar. Em seguida, envia este hash para o servidor. O navegador não enviará a senha do usuário através do servidor.
  • Browsers suportados: Internet Explorer versão 3.01 e posterior.
  • Limitações: Requer ligação ponto a ponto. Normalmente, um circuito é fechado após um erro "401 não autorizado" da mensagem; No entanto, ao negociar uma sequência de autenticação do Windows NT Challenge/Response (que requer vários round trips), o servidor mantém o circuito aberto para a duração da sequência depois do cliente indicou que utilizará Challenge/Response do Windows NT. CERN proxies e certos outros dispositivos de Internet impedir isto de funcionar. Além disso, Windows NT Challenge/Response não suporta impersonations de saltos duplos (que significa que não que uma vez transmitido para o servidor IIS, as mesmas credenciais podem ser transmitidas para um servidor back-end para a autenticação, por exemplo, quando o IIS utiliza o Windows NT Challenge/Response, não pode, em seguida, autenticar o utilizador numa base de dados do SQL Server noutro computador utilizando a segurança integrada do SQL).
  • Direitos de utilizador necessários: A conta de utilizador aceder ao servidor tem de ter permissões de "Acesso este computador a partir da rede".
  • Tipo de encriptação: Algoritmo de Hash NTLM que também é codificado em uuencoded.
Encomendas de prioridade:Quando o browser efectua um pedido, considere sempre o primeiro pedido ao ser anónimo. Por conseguinte, não enviará quaisquer credenciais. Se o servidor não aceita anónimo ou se a conta de utilizador anónimo definidas no servidor não tem permissões para o ficheiro pedido, o servidor IIS responde com uma mensagem de erro "Acesso negado" e envia uma lista dos tipos de autenticação que são suportados utilizando um dos seguintes cenários:
  • Se integrada do Windows é o único suportado método (ou se anónimo falha), em seguida, o browser tem de suportar este método para comunicar com o servidor. Se isto falhar, o servidor não tente qualquer um dos outros métodos.
  • Se o Basic é o único suportado método (ou se anónimo falha), em seguida, uma caixa de diálogo é apresentada na obter as credenciais e, em seguida, transmite estas definições para o servidor. Tenta enviar as credenciais até três vezes. Se estes tudo falharem, o browser não ligar ao servidor.
  • Se forem suportados tanto básica e integrada do Windows, o browser determina o método utilizado. Se o navegador oferece suporte Kerberos ou o Windows NT Challenge/Response, utiliza este método. Não cair novamente para básico. Se o Windows NT Challenge/Response e Kerberos não são suportados, o browser utiliza básica, condensada ou Fortezza se suportar estes. A ordem de precedência aqui é Basic, condensada e, em seguida, Fortezza.
Notas:
  • Quando o browser estabelece uma ligação com um Web site utilizando a autenticação básica ou integrada do Windows, este não reverter para anónimo durante o resto dessa sessão com o servidor. Se tentar ligar a uma página Web que está marcada para anónimo apenas depois de autenticar, é-lhe negado. (Isto pode ou não pode deter true para o Netscape).
  • Quando o Internet Explorer tiver estabelecido uma ligação com o servidor utilizando um método de autenticação que não anónimo, transmite automaticamente as credenciais para cada pedido novo durante a duração da sessão.

Referências

Para mais informações sobre como configurar a autenticação de sites da Web do IIS no Windows Server 2003, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
324274 Como configurar a autenticação de sites da Web do IIS no Windows Server 2003
Para mais informações sobre problemas que poderão ocorrer se um agrupamento de aplicações de Web site hospedado no IIS 6.0 recicla durante o processo de autenticação, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
902160 Receber "erro HTTP 401" mensagens de erro e intermitentemente que não é possível ligar a um Web site hospedado no IIS 6.0

Propriedades

Artigo: 264921 - Última revisão: 19 de novembro de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Serviços de informação Internet 5.0 da Microsoft
  • Serviços de informação Internet 5.1 da Microsoft
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Palavras-chave: 
kbinfo kbmt KB264921 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 264921

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com