Como o IIS autentica clientes de navegador

Traduções deste artigo Traduções deste artigo
ID do artigo: 264921 - Exibir os produtos aos quais esse artigo se aplica.
É altamente recomendável que todos os usuários atualizar para o Internet Information Services (IIS) versão 7.0 em execução no Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança da infra-estrutura da web. Para obter mais informações sobre tópicos relacionados a segurança do IIS, vá para o seguinte site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Para obter mais informações sobre o IIS 7.0, vá para o seguinte site da Microsoft:
http://www.IIS.NET/default.aspx?tabid=1
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve os diferentes métodos de autenticação disponíveis no IIS para Windows NT 4.0 e Windows 2000. Para obter uma descrição mais completa das informações que são discutidas neste artigo, consulte os guias de recursos do Windows 2000 e Windows NT 4.0.

Mais Informações

Métodos de autenticação disponíveis para o Windows NT 4.0

Anônimo - sem logon é necessária e qualquer pessoa tem permissão para acessar os dados protegidos com este método. O servidor usa uma conta (IUSR _ [nome_do_computador] por padrão) para controlar as permissões nos arquivos. O navegador não envia as credenciais ou informações do usuário com este tipo de solicitação.
  • Navegadores compatíveis: qualquer
  • Limitações: nenhuma
  • Direitos de usuário necessários: A conta de usuário anônimo definida no servidor deve ter permissões "Fazer logon local".
  • Tipo de criptografia: nenhum
Básico (texto não criptografado) - o servidor solicita ao usuário para fazer logon e uma caixa de diálogo é exibida no navegador que permite que o usuário digite as credenciais que são necessários. Essas credenciais devem corresponder as credenciais do usuário definidas nos arquivos que o usuário está tentando acessar.
  • Navegadores compatíveis: qualquer
  • Limitações: Não é muito seguro. As senhas são facilmente deciphered.
  • Direitos de usuário necessários: A conta de usuário deve ter permissões "Fazer logon local".
  • Tipo de criptografia: Codificação de Base 64 (criptografia não é verdade)
Desafio/resposta do Windows NT - o servidor solicita ao usuário para fazer logon. Se o navegador oferece suporte a desafio/resposta do Windows NT, ela envia automaticamente as credenciais do usuário se o usuário fizer logon. Se o domínio que o usuário está na for diferente do domínio do servidor, ou se o usuário não fizer logon, será exibida uma caixa de diálogo solicitando as credenciais para enviar. Desafio/resposta do Windows NT usa um algoritmo para gerar um hash com base nas credenciais do usuário e o computador que o usuário está usando. Em seguida, ele envia esse hash ao servidor. O navegador não envia a senha do usuário em para o servidor.
  • Navegadores suportados: Internet Explorer versões 3.01 e posteriores
  • Limitações: Requer conexão ponto a ponto. Geralmente, um circuito é fechado após um erro "401 não autorizado" da mensagem; No entanto, ao negociar uma seqüência de autenticação de desafio/resposta do Windows NT (que requer várias idas e vindas), o servidor mantém o circuito aberto para a duração da seqüência depois que o cliente indicou que ele usará o desafio/resposta do Windows NT. CERN proxies e outros dispositivos Internet evitar esse trabalho. Além disso, desafio/resposta do Windows NT não suporta impersonations de salto duplo (que passada para o servidor IIS, as mesmas credenciais não podem ser passadas para um servidor back-end para a autenticação).
  • Direitos de usuário necessários: A conta de usuário que está acessando o servidor deve ter permissões de "Acesso a este computador pela rede".
  • Tipo de criptografia: Algoritmo de Hash NTLM também é uuencoded.
a ordem de precedência: Quando o navegador faz uma solicitação, ele sempre considera a primeira solicitação para ser anônimo. Portanto, ele não enviará as credenciais. Se o servidor não aceita anônimo ou se a conta de usuário anônimo configurado no servidor não possuem permissões para o arquivo que está sendo solicitado, o servidor IIS responde com uma mensagem de erro "Acesso negado" e envia uma lista de tipos de autenticação são suportados, usando um dos seguintes cenários:
  • Se o desafio/resposta do Windows NT é o único suporte para o método (ou se anônimo falha), e em seguida, o navegador deve oferecer suporte a esse método para se comunicar com o servidor. Caso contrário, ele não pode negociar com o servidor e o usuário recebe uma mensagem de erro "Acesso negado".
  • Se Basic é o único suporte para o método (ou se anônimo falha), e uma caixa de diálogo é exibida no navegador para obter as credenciais e, em seguida, passa essas credenciais para o servidor. Ele tenta enviar essas credenciais até três vezes. Se todas essas falham, o navegador não está conectado ao servidor.
  • Se houver suporte para Basic e desafio/resposta do Windows NT, o navegador determina qual método é usado. Se o navegador oferece suporte a desafio/resposta do Windows NT, ele usa esse método e não o retorno para básico. Se não houver suporte para o desafio/resposta do Windows NT, o navegador usa Basic.
Anotações
  • Quando seu navegador estabelece uma conexão com um site da Web usando a autenticação básica ou NTLM, ele não voltar a anônimo durante o resto da sessão com o servidor. Se você tentar se conectar a uma página da Web que está marcada para ser anônimo somente após a autenticação, você será negado. (Isso pode ou não pode conter true para o Netscape).
  • Quando o Internet Explorer estabeleceu uma conexão com o servidor usando a autenticação básica ou NTLM, ele passa as credenciais para cada nova solicitação para a duração da sessão.

Métodos de autenticação estão disponíveis para o Windows 2000 e acima

Anônimo - sem logon é necessária e qualquer pessoa tem permissão para acessar os dados protegidos com este método. O servidor usa uma conta (IUSR _ [nome_do_computador] por padrão) para controlar as permissões nos arquivos. O navegador não envia as credenciais ou informações do usuário com este tipo de solicitação.
  • Navegadores compatíveis: qualquer
  • Limitações: nenhuma
  • Direitos de usuário necessários: A conta de usuário anônimo definida no servidor deve ter permissões "Fazer logon local".
  • Tipo de criptografia: nenhum
Básico (texto não criptografado) - o servidor solicita ao usuário para fazer logon e uma caixa de diálogo é exibida no navegador que permite que o usuário digite as credenciais que são necessários. Essas credenciais devem corresponder as credenciais do usuário definidas nos arquivos que o usuário está tentando acessar.
  • Navegadores compatíveis: qualquer
  • Limitações: Não altamente seguro. As senhas são facilmente deciphered.
  • Direitos de usuário necessários: A conta de usuário deve ter direitos de "Fazer logon local"
  • Tipo de criptografia: Codificação de Base 64 (criptografia não é verdade)
Resumo - o servidor solicita ao usuário para fazer logon e também envia um NONCE usado para criptografar a senha. O navegador usa o valor de uso único para criptografar a senha e enviada para o servidor. O servidor criptografa a sua própria cópia da senha do usuário e compara os dois. Se forem iguais e o usuário possui permissões, o acesso é concedido.
  • Navegadores suportados: Internet Explorer 5 e versões posteriores
  • Limitações: Não como proteger como integrados. Requer que o servidor tenha acesso a um servidor do Active Directory está configurado para a autenticação Digest.
  • Direitos de usuário necessários: Exige que as senhas tenham "Salvar senha como texto criptografado"
  • Tipo de criptografia: Com base no valor de uso único enviada pelo servidor.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
222028 Configurando a autenticação Digest para usar com o Internet Information Services 5.0
Fortezza - usar segurança de Fortezza com o IIS 5.0, você precisa ter um arquivo de criptografia API Service Provider (CSP) apropriado de um provedor de Fortezza, como http://www.spyrus.com.

Integrada do Windows (divididas em duas categorias de sub)
Kerberos - o servidor solicita um usuário fazer logon. Se o navegador suporta Kerberos, ocorre o seguinte:
  • Autenticação de solicitações do IIS.
  • Se o cliente não tiver feito logon em um domínio, uma caixa de diálogo é exibida no Internet Explorer solicita as credenciais e contata o KDC para solicitar e receber um tíquete de concessão de tíquete. Em seguida, ele envia o tíquete de concessão de tíquete junto com as informações sobre o servidor IIS para o KDC.
  • Se o cliente IE tem êxito conectado ao domínio e recebeu um tíquete de concessão de tíquete, ele envia esse tíquete junto com informações sobre o servidor IIS para o KDC
  • O KDC emite um tíquete de recursos de cliente.
  • O cliente passa esse bilhete para o servidor IIS.
Kerberos usa bilhetes gerados em um servidor de concessão de tíquete (KDC) para autenticar. Ele envia esse bilhete para o servidor IIS. O navegador não envia a senha do usuário em para o servidor.
  • Navegadores suportados: Internet Explorer versões 5.0 e posterior
  • Limitações: o servidor deve ter acesso a um servidor do Active Directory. O servidor e o cliente devem ter uma conexão confiável com um KDC.
  • Direitos de usuário necessários: A conta de usuário anônimo definida no servidor deve ter permissões "Fazer logon local".
  • Tipo de criptografia: criptografado tíquete.
Desafio/resposta do Windows NT - o servidor solicita ao usuário para fazer logon. Se o navegador oferece suporte a desafio/resposta do Windows NT, ela envia automaticamente as credenciais do usuário se o usuário fizer logon. Se o domínio que o usuário está na for diferente do domínio do servidor, ou se o usuário não fizer logon, uma caixa de diálogo é exibida no Internet Explorer solicita as credenciais para enviar. Desafio/resposta do Windows NT usa um algoritmo para gerar um hash com base nas credenciais do usuário e o computador que o usuário está usando. Em seguida, ele envia esse hash ao servidor. O navegador não envia a senha do usuário em para o servidor.
  • Navegadores suportados: Internet Explorer versões 3.01 e posteriores.
  • Limitações: Requer conexão ponto a ponto. Normalmente, um circuito é fechado após um erro "401 não autorizado" da mensagem; No entanto, ao negociar uma seqüência de autenticação de desafio/resposta do Windows NT (que requer várias idas e vindas), o servidor mantém o circuito aberto para a duração da seqüência depois que o cliente indicou que ele usará o desafio/resposta do Windows NT. CERN proxies e outros dispositivos Internet evitar esse trabalho. Além disso, o desafio/resposta do Windows NT não suporta impersonations de salto duplo (não que passada para o servidor IIS, as mesmas credenciais podem ser passadas para um servidor back-end para autenticação, por exemplo, quando o IIS usa desafio/resposta do Windows NT, o que significa não pode, em seguida, autenticar o usuário em um banco de dados do SQL Server em outro computador usando segurança integrada do SQL).
  • Direitos de usuário necessários: A conta de usuário que acessa o servidor deve ter permissões de "Acesso a este computador pela rede".
  • Tipo de criptografia: Algoritmo de Hash NTLM também é uuencoded.
a ordem de precedência:Quando o navegador faz uma solicitação, ele sempre considera a primeira solicitação para ser anônimo. Portanto, ele não enviará as credenciais. Se o servidor não aceita anônimo ou se a conta de usuário anônimo configurado no servidor não possui permissões para o arquivo que está sendo solicitado, o servidor IIS responde com uma mensagem de erro "Acesso negado" e envia uma lista de tipos de autenticação são suportados, usando um dos seguintes cenários:
  • Se integrada do Windows é o único suporte para o método (ou se anônimo falha), e em seguida, o navegador deve oferecer suporte a esse método para se comunicar com o servidor. Se isso falhar, o servidor não tente qualquer um dos outros métodos.
  • Se Basic é a única suportada método (ou se anônimo falha), em seguida, uma caixa de diálogo será exibida na obter as credenciais e, em seguida, passa para o servidor. Ele tentará enviar as credenciais até três vezes. Se todas essas falham, o navegador não se conectar ao servidor.
  • Se houver suporte para básica e integrada do Windows, o navegador determina qual método é usado. Se o navegador suporta Kerberos ou Challenge/Response do Windows NT, ele usa esse método. Que não se volta para básico. Se não houver suporte para o desafio/resposta do Windows NT e o Kerberos, o navegador usará básica, Digest ou Fortezza se ele oferece suporte a eles. A ordem de precedência aqui é Basic, Digest e Fortezza.
Notas:
  • Quando seu navegador estabelece uma conexão com um site da Web usando a autenticação básica ou integrada do Windows, ele não voltar a anônimo durante o resto da sessão com o servidor. Se você tentar se conectar a uma página da Web que está marcada para ser anônimo somente após a autenticação, são negadas. (Isso pode ou não pode conter true para o Netscape).
  • Quando o Internet Explorer estabeleceu uma conexão com o servidor usando um método de autenticação que não seja anônimo, ele automaticamente passa as credenciais para cada nova solicitação durante a duração da sessão.

Referências

Para obter mais informações sobre como configurar autenticação de site Web do IIS no Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
324274 Como configurar a autenticação de site Web do IIS no Windows Server 2003
Para obter mais informações sobre problemas que podem ocorrer se um pool de aplicativos do site da Web está hospedado no IIS 6.0 recicla durante o processo de autenticação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
902160 Você receber "Erro HTTP 401" mensagens de erro e você intermitentemente não pode se conectar a um site que está hospedado no IIS 6.0

Propriedades

ID do artigo: 264921 - Última revisão: terça-feira, 19 de novembro de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9 on Windows Server
Palavras-chave: 
kbinfo kbmt KB264921 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 264921

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com