O IIS autentica clientes do navegador

Este artigo apresenta como o IIS autentica clientes do navegador.

Versão original do produto: Internet Explorer
Número KB original: 264921

Resumo

Este artigo descreve os diferentes métodos de autenticação disponíveis no IIS para Windows NT 4.0, Windows 2000 e versões posteriores do Windows. Para obter uma descrição mais completa das informações discutidas neste artigo, consulte os guias de recursos Windows NT 4.0 e Windows 2000.

Métodos de autenticação que estão disponíveis para Windows NT 4.0

Anônimo – Nenhum logon é necessário e qualquer pessoa tem permissão para obter acesso aos dados protegidos com esse método. O servidor usa uma conta interna (IUSR_[nome do computador] por padrão) para controlar as permissões nos arquivos. O navegador não envia nenhuma credencial ou informações do usuário com esse tipo de solicitação.

  • Navegadores com suporte: qualquer
  • Limitações: Nenhuma
  • Direitos de Usuário Obrigatórios: a conta de usuário anônima definida no servidor deve ter permissões de logon localmente .
  • Tipo de Criptografia: Nenhum

Básico (Limpar Texto) – o servidor solicita que o usuário faça logon e uma caixa de diálogo é exibida no navegador que permite que o usuário insira as credenciais necessárias. Essas credenciais devem corresponder às credenciais do usuário definidas nos arquivos que o usuário está tentando acessar.

  • Navegadores com suporte: qualquer
  • Limitações: não segura. As senhas são facilmente decifrar.
  • Direitos de Usuário Obrigatórios: a conta de usuário deve ter permissões de logon localmente .
  • Tipo de criptografia: codificação base 64 (criptografia não verdadeira)

Windows NT desafio/resposta – o servidor solicita que o usuário faça logon. Se o navegador der suporte Windows NT Desafio/Resposta, ele enviará automaticamente as credenciais do usuário se o usuário estiver conectado. Se o domínio em que o usuário está for diferente do domínio do servidor ou se o usuário não estiver conectado, uma caixa de diálogo será exibida para solicitar as credenciais a serem enviada. Windows NT Desafio/Resposta usa um algoritmo para gerar um hash com base nas credenciais do usuário e no computador que o usuário está usando. Em seguida, ele envia esse hash para o servidor. O navegador não envia a senha do usuário para o servidor.

  • Navegadores com suporte: Internet Explorer versões 3.01 e posteriores

  • Limitações: requer conexão ponto a ponto. Normalmente, um circuito é fechado após uma mensagem de erro "401 não autorizado"; No entanto, ao negociar uma sequência de autenticação de desafio/resposta do Windows NT (que requer várias viagens de ida e volta), o servidor mantém o circuito aberto durante a sequência depois que o cliente indicou que usará Windows NT Desafio/Resposta. Proxies CERN e determinados outros dispositivos de Internet impedem que isso funcione. Além disso, Windows NT Desafio/Resposta não dá suporte a representação de salto duplo (nesse caso, uma vez passadas para o servidor IIS, as mesmas credenciais não podem ser passadas para um servidor back-end para autenticação).

  • Direitos de Usuário Obrigatórios: a conta de usuário que está acessando o servidor deve ter permissões de "Acessar este computador da rede".

  • Tipo de criptografia: algoritmo de hash NTLM que também não está codificado.

Ordens de precedência: Quando o navegador faz uma solicitação, ele sempre considera a primeira solicitação como Anônima. Portanto, ele não envia nenhuma credencial. Se o servidor não aceitar ANONYMOUS OR se a conta de usuário Anônima definida no servidor não tiver permissões para o arquivo que está sendo solicitado, o servidor IIS responderá com uma mensagem de erro Acesso Negado e enviará uma lista dos tipos de autenticação com suporte usando um dos seguintes cenários:

  • Se Windows NT Desafio/Resposta for o único método com suporte (ou se o Anonymous falhar), o navegador deverá dar suporte a esse método para se comunicar com o servidor. Caso contrário, ele não poderá negociar com o servidor e o usuário receberá uma mensagem de erro acesso negado.
  • Se Basic for o único método com suporte (ou se Anônimo falhar), uma caixa de diálogo será exibida no navegador para obter as credenciais e, em seguida, passará essas credenciais para o servidor. Ele tenta enviar essas credenciais até três vezes. Se tudo isso falhar, o navegador não estará conectado ao servidor.
  • Se o Desafio/Windows NT Básico e o Desafio/Resposta forem compatíveis, o navegador determinará qual método será usado. Se o navegador der suporte Windows NT desafio/resposta, ele usará esse método e não retornará ao Básico. Se Windows NT desafio/resposta não for compatível, o navegador usará Básico.

Observação

  • Quando o navegador estabelece uma conexão com um site BasicNTLM usando ou autenticação, ele não retorna ao Anonymous durante o restante da sessão com o servidor. Se você tentar se conectar a uma página da Web marcada para Anônimo somente após a autenticação, você será negado. (Isso pode ou não ser válido para o Netscape).
  • Quando o Internet Explorer estabeleceu BasicNTLM uma conexão com o servidor usando ou autenticando, ele passa as credenciais para cada nova solicitação durante a sessão.

Métodos de autenticação que estão disponíveis para o Windows 2000 e superior

Anônimo – nenhum logon é necessário e qualquer pessoa tem permissão para obter acesso aos dados protegidos com esse método. O servidor usa uma conta interna (IUSR_[nome do computador] por padrão) para controlar as permissões nos arquivos. O navegador não envia nenhuma credencial ou informações do usuário com esse tipo de solicitação.

  • Navegadores com suporte: qualquer
  • Limitações: Nenhuma
  • Direitos de Usuário Obrigatórios: a conta de usuário Anônima definida no servidor deve ter permissões de "logon localmente".
  • Tipo de Criptografia: Nenhum

Básico (Limpar Texto) – o servidor solicita que o usuário faça logon e uma caixa de diálogo é exibida no navegador que permite que o usuário insira as credenciais necessárias. Essas credenciais devem corresponder às credenciais do usuário definidas nos arquivos que o usuário está tentando acessar.

  • Navegadores com suporte: qualquer
  • Limitações: não segura. As senhas são facilmente decifrar.
  • Direitos de Usuário Obrigatórios: a conta de usuário deve ter direitos de logon localmente
  • Tipo de criptografia: codificação base 64 (criptografia não verdadeira)

Resumo – o servidor solicita que o usuário faça logon e também envia um NONCE usado para criptografar a senha. O navegador usa o NONCE para criptografar a senha e a envia para o servidor. Em seguida, o servidor criptografa sua própria cópia da senha do usuário e compara os dois. Se eles corresponderem e o usuário tiver permissões, o acesso será concedido.

  • Navegadores com suporte: Internet Explorer 5 e versões posteriores
  • Limitações: não tão seguras quanto Integradas. Exige que o servidor tenha acesso a um Servidor do Active Directory configurado para Autenticação Digest.
  • Direitos de usuário necessários: exige que as senhas tenham "Salvar senha como texto não criptografado"
  • Tipo de criptografia: com base no NONCE enviado pelo servidor.

Windows Integrated (dividido em duas sub categorias)

Kerberos – o servidor solicita que um usuário faça logon. Se o navegador der suporte a Kerberos, ocorrerá o seguinte:

  • O IIS solicita autenticação.
  • Se o cliente não tiver feito logon em um domínio, uma caixa de diálogo será exibida no Internet Explorer solicitando credenciais e, em seguida, contatará o KDC para solicitar e receber um Tíquete de Concessão de Tíquete. Em seguida, ele envia o tíquete de concessão de tíquete junto com informações sobre o servidor IIS para o KDC.
  • Se o cliente do IE já tiver feito logon com êxito no domínio e tiver recebido um tíquete de concessão de tíquete, ele enviará esse tíquete juntamente com informações sobre o servidor IIS para o KDC
  • O KDC emite ao cliente um tíquete de recurso.
  • O cliente passa esse tíquete para o servidor IIS.

O Kerberos usa tíquetes gerados em um KDC (Servidor de Concessão de Tíquetes) para autenticar. Ele envia esse tíquete para o servidor IIS. O navegador NÃO envia a senha do usuário para o servidor.

  • Navegadores com suporte: Internet Explorer versões 5.0 e posteriores
  • Limitações: o servidor deve ter acesso a um servidor do Active Directory. O servidor e o cliente devem ter uma conexão confiável com um KDC.
  • Direitos de Usuário Obrigatórios: a conta de usuário Anônima definida no servidor deve ter permissões de logon localmente .
  • Tipo de criptografia: tíquete criptografado.

Windows NT desafio/resposta – o servidor solicita que o usuário faça logon. Se o navegador der suporte Windows NT Desafio/Resposta, ele enviará automaticamente as credenciais do usuário se o usuário estiver conectado. Se o domínio em que o usuário está for diferente do domínio do servidor ou se o usuário não estiver conectado, uma caixa de diálogo será exibida no Internet Explorer solicitando as credenciais a serem enviada. Windows NT Desafio/Resposta usa um algoritmo para gerar um hash com base nas credenciais do usuário e no computador que o usuário está usando. Em seguida, ele envia esse hash para o servidor. O navegador não envia a senha do usuário para o servidor.

  • Navegadores com suporte: Internet Explorer versões 3.01 e posteriores.
  • Limitações: requer conexão ponto a ponto. Normalmente, um circuito é fechado após uma mensagem de erro "401 não autorizado"; No entanto, ao negociar uma sequência de autenticação de desafio/resposta do Windows NT (que requer várias viagens de ida e volta), o servidor mantém o circuito aberto durante a sequência depois que o cliente indicou que usará Windows NT Desafio/Resposta. Proxies CERN e determinados outros dispositivos de Internet impedem que isso funcione. Além disso, o Desafio/Resposta do Windows NT não dá suporte a representação de salto duplo (o que significa que, uma vez passadas para o servidor IIS, as mesmas credenciais não podem ser passadas para um servidor back-end para autenticação, por exemplo, quando o IIS usa o Desafio/Resposta do Windows NT, ele não pode autenticar o usuário em um banco de dados do SQL Server em outro computador usando a segurança integrada do SQL).
  • Direitos de Usuário Obrigatórios: a conta de usuário que acessa o servidor deve ter permissões de "Acessar este computador da rede".
  • Tipo de criptografia: algoritmo de hash NTLM que também não está codificado.

Ordens de precedência: Quando o navegador faz uma solicitação, ele sempre considera a primeira solicitação como Anônima. Portanto, ele não envia nenhuma credencial. Se o servidor não aceitar Anônimo ou se a conta de usuário Anônima definida no servidor não tiver permissões para o arquivo que está sendo solicitado, o servidor IIS responderá com uma mensagem de erro de Acesso Negado e enviará uma lista dos tipos de autenticação com suporte usando um dos seguintes cenários:

  • Se o Windows Integrated for o único método com suporte (ou se o Anonymous falhar), o navegador deverá dar suporte a esse método para se comunicar com o servidor. Se isso falhar, o servidor não tentará nenhum dos outros métodos.
  • Se Basic for o único método com suporte (ou se Anônimo falhar), uma caixa de diálogo será exibida para obter as credenciais e, em seguida, as passará para o servidor. Ele tenta enviar as credenciais até três vezes. Se tudo isso falhar, o navegador não se conectará ao servidor.
  • Se o Basic e o Windows Integrated forem compatíveis, o navegador determinará qual método será usado. Se o navegador der suporte a Kerberos ou Windows NT Desafio/Resposta, ele usará esse método. Ele não volta para Básico. Se Windows NT desafio/resposta e Kerberos não forem compatíveis, o navegador usará Basic, Digest ou Fortezza se oferecer suporte a eles. A ordem de precedência aqui é Basic, Digest e depois Fortezza.

Observação

  • Quando o navegador estabelece uma conexão com um site usando a autenticação Básica ou Integrada do Windows, ele não retorna ao Anonymous durante o restante da sessão com o servidor. Se você tentar se conectar a uma página da Web marcada como Anônima somente após a autenticação, você será negado. (Isso pode ou não ser válido para o Netscape).
  • Quando o Internet Explorer estabelece uma conexão com o servidor usando um método de autenticação diferente de Anônimo, ele passa automaticamente as credenciais para cada nova solicitação durante a sessão.

Referências

Para obter mais informações sobre como configurar a autenticação de site do IIS no Windows Server 2003, consulte Como configurar a autenticação de site do IIS no Windows Server 2003.