Как IIS проверяет подлинность клиентов обозревателя

Переводы статьи Переводы статьи
Код статьи: 264921 - Vizualiza?i produsele pentru care se aplic? acest articol.
Корпорация Майкрософт настоятельно рекомендует всем пользователям провести обновление до Microsoft Internet информации СЛУЖБ версии 7.0 на Microsoft Windows Server 2008. IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения по вопросам безопасности IIS посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/TechNet/Security/prodtech/IIS.mspx
Для получения дополнительных сведений о IIS 7.0 посетите следующий веб-узел корпорации Майкрософт:
http://www.iis.net/default.aspx?tabid=1
Развернуть все | Свернуть все

В этой статье

Аннотация

В этой статье описаны различные методы проверки подлинности, доступные в службах IIS для Microsoft Windows NT 4.0 и Microsoft Windows 2000. Более полное описание сведений, описанного в этой статье содержатся в разделе Windows NT 4.0 и Windows 2000 ресурсов направляющие.

Дополнительная информация

Методы проверки подлинности, доступные для Windows NT 4.0

Анонимный -Без входа в систему не требуется, и любой пользователь может получить доступ к данным, защищенным с помощью этого метода. Сервер использует встроенную в учетной записи (IUSR_ [имя компьютера] по умолчанию) для управления разрешениями на файлы. Обозреватель не посылает любые учетные данные или сведения о пользователе с этим типом запроса.
  • Поддерживаемые браузеры: любой
  • Ограничения: нет
  • Необходимые права пользователя: Учетная запись анонимного пользователя, определенные на сервере необходимо иметь разрешения «Локальный вход В систему».
  • Тип шифрования: нет
Обычная (открытый текст) -Сервер запрашивает пользователя для входа в систему, и появится в обозревателе, который позволяет пользователю ввести учетные данные, которые нужны. Эти учетные данные должны соответствовать учетные данные пользователя, определенные на файлы, которые пользователь пытается получить доступ.
  • Поддерживаемые браузеры: любой
  • Ограничения: Максимально безопасным. Пароли, легко deciphered.
  • Необходимые права пользователя: Учетная запись пользователя должен иметь разрешения «Локальный вход В систему».
  • Тип шифрования: Кодировка Base 64 (не true шифрование)
Запрос/ответ Windows NT -Сервер запрашивает пользователя для входа в систему. Если обозреватель поддерживает запрос/ответ Windows NT, он посылает учетные данные пользователя, если пользователь вошел в систему. Если отличается от вашего домена пользователь входит в домен, или если пользователь не вошел в систему, появится диалоговое окно запрашивает учетные данные для отправки. Запрос/ответ Windows NT использует алгоритм для создания на основе учетных данных пользователя и компьютера, на котором пользователь использует хеш-код. Затем отправляет этот хэш-код на сервер. Обозреватель не отправляет пароль для пользователя на сервер.
  • Поддерживаемые браузеры: Internet Explorer версии 3.01 или более поздней версии
  • Ограничения: Требуется подключение точка-точка. Как правило, канал закрывается после ошибки «401 не санкционировано» сообщений; Тем не менее при согласовании последовательность проверки подлинности и подтверждением Windows NT (который требует нескольких циклов обработки), сервер поддерживает канал открытым для продолжительности последовательности после клиент указал, что он будет использовать запрос/ответ Windows NT. CERN прокси и некоторых других устройств Интернета предотвратить такой работы. Кроме того запрос/ответ Windows NT поддерживает олицетворения двойного прыжка (в том, что не после передается на сервер IIS, те же учетные данные могут быть переданы внутреннему серверу для проверки подлинности).
  • Необходимые права пользователя: Учетная запись пользователя, который обращается к серверу необходимо иметь разрешения «Доступ К компьютеру из сети».
  • Тип шифрования: NTLM хэш-алгоритм, который также является формате UUENCODE.
Заказы приоритет:Когда обозреватель запрашивает, всегда рассматривает первого запроса к быть анонимный доступ. Таким образом она не передает учетные данные. Если сервер не принимает анонимные или если эта учетная запись анонимного пользователя на сервере нет разрешений для файлов, запрошенных IIS-сервер отвечает сообщением об ошибке «Отказано в доступе» и отправляет список типов проверки подлинности, которые поддерживаются с помощью одного из следующих сценариев:
  • Если запрос/ответ Windows NT — это единственный поддерживаемый метод (или если анонимный вход не выполняется), а затем обозреватель должен поддерживать этот метод, чтобы связаться с сервером. В противном случае он не может согласовать с сервером и пользователь получает сообщение об ошибке «Отказано в доступе».
  • Если Basic — это единственный поддерживаемый метод (или если анонимный вход не выполняется), а затем в диалоговом окне отображается в обозревателе, чтобы получить учетные данные и затем передает учетные данные на сервер. Он пытается отправить учетные данные до трех раз. При сбое всех веб-обозревателе не подключен к серверу.
  • Если поддерживается Basic и подтверждением Windows NT, обозреватель определяет, какой метод используется. Если обозреватель поддерживает запрос/ответ Windows NT, этот метод используется и не попадает обратно в базовый. Если запрос/ответ Windows NT не поддерживается, обозреватель использует Basic.
Заметки:
  • Когда обозреватель устанавливает соединение с веб-узла с использованием проверки подлинности NTLM или Basic, он попытается анонимный доступ в оставшейся части этого сеанса с сервером. При попытке подключиться к веб-страницы, помеченные для анонимного только после проверки подлинности, вам будет отказано. (Это может и могут не выполняться для Netscape).
  • Когда Internet Explorer устанавливает соединение с сервером с использованием проверки подлинности NTLM или Basic, он передает учетные данные для каждого нового запроса в течение всего сеанса.

Методы проверки подлинности, доступные в Windows 2000

Анонимный -Без входа в систему не требуется, и любой пользователь может получить доступ к данным, защищенным с помощью этого метода. Сервер использует встроенную в учетной записи (IUSR_ [имя компьютера] по умолчанию) для управления разрешениями на файлы. Обозреватель не посылает любые учетные данные или сведения о пользователе с этим типом запроса.
  • Поддерживаемые браузеры: любой
  • Ограничения: нет
  • Необходимые права пользователя: Учетная запись анонимного пользователя, определенные на сервере необходимо иметь разрешения «Локальный вход В систему».
  • Тип шифрования: нет
Обычная (открытый текст) -Сервер запрашивает пользователя для входа в систему, и появится в обозревателе, который позволяет пользователю ввести учетные данные, которые нужны. Эти учетные данные должны соответствовать учетные данные пользователя, определенные на файлы, которые пользователь пытается получить доступ.
  • Поддерживаемые браузеры: любой
  • Ограничения: Крайне небезопасно. Пароли, легко deciphered.
  • Необходимые права пользователя: Учетная запись пользователя необходимо иметь права «Локальный вход в систему»
  • Тип шифрования: Кодировка Base 64 (не true шифрование)
Дайджест -Сервер запрашивает пользователя для входа в систему и также отправляет NONCE, используемый для шифрования пароля. Обозреватель использует NONCE зашифровать пароль и отправляет этот сервер. Затем сервер шифрует свою собственную копию пароля пользователя и сравнивает два. Если они совпадают, и пользователь не имеет разрешений, доступ предоставляется.
  • Обозревателей поддерживаются: Internet Explorer 5 и более поздних версиях
  • Ограничения: Не как защитить как встроенные. Требуется сервер должен иметь доступ к серверу Active Directory, настроенной для дайджест-проверки подлинности.
  • Права пользователя, необходимые: Требуются пароли имеют «сохранить пароль, зашифрованный открытым текстом»
  • Тип шифрования: В зависимости от NONCE, отправленных сервером.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
222028Настройка дайджест-проверки подлинности для использования со службами IIS 5.0
FORTEZZA -Чтобы использовать Fortezza безопасности IIS 5.0, необходимо иметь соответствующий файл поставщика службы криптографии API (CSP) от поставщика Fortezza, такие как http://www.spyrus.com.

Встроенная проверка Windows (разделить на две категории sub)
Kerberos -Сервер запрашивает пользователя для входа в систему. Если обозреватель поддерживает Kerberos, далее происходит:
  • Проверка подлинности запросов IIS.
  • Если клиент не выполнил вход в домен, в диалоговом окне появится в обозревателе Internet Explorer запрашивает учетные данные и затем обращается к KDC запрашивать и получать билет предоставления билета. Он отправляет билет предоставления билета вместе со сведениями о сервере IIS KDC.
  • Если клиент IE имеет уже успешно войти в домен и полученный билет предоставления билета, он отправляет этот билет с помощью сведений о сервере IIS KDC
  • KDC выдает клиенту билет ресурсов.
  • Клиент передает этот билет на сервере IIS.
Kerberos использует билеты, созданный на билет предоставления сервера (KDC) для проверки подлинности. Этот билет он отправляет на сервер IIS. Обозреватель не отправляет пароль для пользователя на сервер.
  • Поддерживаемые браузеры: Internet Explorer версии 5.0 и выше
  • Ограничения: сервер должен иметь доступ к серверу Active Directory. Сервер и клиент должен иметь доверенное соединение с KDC.
  • Необходимые права пользователя: Учетная запись анонимного пользователя, определенные на сервере необходимо иметь разрешения «Локальный вход В систему».
  • Тип шифрования: зашифрованный билет.
Запрос/ответ Windows NT -Сервер запрашивает пользователя для входа в систему. Если обозреватель поддерживает запрос/ответ Windows NT, он посылает учетные данные пользователя, если пользователь вошел в систему. Если отличается от домена сервера домена, пользователь или пользователь не вошел в систему, появится в обозревателе Internet Explorer запрашивает учетные данные для отправки. Запрос/ответ Windows NT использует алгоритм для создания на основе учетных данных пользователя и компьютера, на котором пользователь использует хеш-код. Затем отправляет этот хэш-код на сервер. Обозреватель не отправляет пароль для пользователя на сервер.
  • Поддерживаемые браузеры: Internet Explorer версии 3.01 или более поздней версии.
  • Ограничения: Требуется подключение точка-точка. Как правило, канал закрывается после ошибки «401 не санкционировано» сообщений; Тем не менее при согласовании последовательность проверки подлинности Windows NT Challenge/Response (который требует нескольких циклов обработки), сервер поддерживает канал открытым для продолжительности последовательности после клиент указал, что он будет использовать запрос/ответ Windows NT. CERN прокси и некоторых других устройств Интернета предотвратить такой работы. Кроме того, запрос/ответ Windows NT поддерживает олицетворения двойного прыжка (это означает, что после передается на сервер IIS, те же учетные данные нельзя передать внутренний сервер для проверки подлинности, например, когда IIS использует запрос/ответ Windows NT, он не может затем аутентификации пользователя в базе данных SQL Server на другом компьютере с помощью SQL встроенной безопасности).
  • Необходимые права пользователя: Учетная запись пользователя, для доступа к серверу требуются разрешения «Доступ К компьютеру из сети».
  • Тип шифрования: NTLM хэш-алгоритм, который также является формате UUENCODE.
Заказы приоритет:Когда обозреватель запрашивает, всегда рассматривает первого запроса к быть анонимный доступ. Таким образом она не передает учетные данные. Если сервер не принимает анонимные или на сервере учетной записи анонимного пользователя нет разрешений для файлов, запрошенных IIS-сервер отвечает сообщением об ошибке «Отказано в доступе» и отправляет список типов проверки подлинности, которые поддерживаются с помощью одного из следующих сценариев:
  • Если встроенная проверка Windows — это единственный поддерживаемый метод (или если анонимный вход не выполняется), а затем обозреватель должен поддерживать этот метод, чтобы связаться с сервером. Если это не удается, сервер не попробуйте другие методы.
  • Если Basic поддерживается только метод (или если анонимный вход не выполняется), затем в диалоговом окне появится в получить учетные данные, а затем передает их на сервер. Он пытается отправить учетные данные до трех раз. Если не всех, обозреватель не подключиться к серверу.
  • Если поддерживается Basic и встроенная проверка Windows, обозреватель определяет, какой метод используется. Если обозреватель поддерживает Kerberos или запрос/ответ Windows NT, использует этот метод. Он попытается Basic. Если запрос/ответ Windows NT и Kerberos не поддерживается, обозреватель использует Basic, краткой или Fortezza Если это поддерживается. Порядок очередности здесь является Basic, краткая и Fortezza.
Заметки:
  • Когда обозреватель устанавливает соединение с веб-узла с помощью проверки подлинности Basic или встроенная проверка Windows, он попытается анонимный доступ в оставшейся части этого сеанса с сервером. При попытке подключиться к веб-страницы, помеченные для анонимного только после проверки подлинности, которые отклоняются. (Это может и могут не выполняться для Netscape).
  • Когда Internet Explorer устанавливает соединение с сервером с помощью метода проверки подлинности, отличный от Anonymous, автоматически передает учетные данные для каждого нового запроса во время сеанса.

Ссылки

Для получения дополнительных сведений о настройке проверки подлинности веб-узла IIS Web в Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
324274Настройка проверки подлинности веб-узла IIS Web в Windows Server 2003
Для получения дополнительных сведений о проблемах, которые могут возникнуть, если пул приложений веб-узла, размещенного на IIS 6.0 перезапускает в процессе проверки подлинности щелкните следующий номер статьи базы знаний Майкрософт:
902160Появляется сообщение об ошибке «Ошибка HTTP 401» и периодически не удается подключиться к веб-узла, размещенного на IIS 6.0

Свойства

Код статьи: 264921 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Explorer 6.0 на следующих платформах
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • операционная система Microsoft Windows 2000 Server
    • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbinfo kbmt KB264921 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:264921

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com