Ako IIS overuje browser klienti

Preklady článku Preklady článku
ID článku: 264921 - Zobraziť produkty, ktorých sa tento článok týka.
Dôrazne odporúčame všetkým užívateľom upgradovať na Internet Information Services (IIS) verzie 7.0 so systémom Windows Server 2008. IIS 7.0 výrazne zvyšuje web infraštruktúru zabezpečenia. Pre viac informácií o témach zabezpečenia IIS nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://www.Microsoft.com/technet/security/prodtech/IIS.mspx
Ďalšie informácie o súčasti IIS 7.0 nájdete na webovej lokalite spoločnosti Microsoft:
http://www.IIS.net/default.aspx?Tabid=1
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Súhrn

Tento článok popisuje rôzne overovania metód, ktoré sú k dispozícii v službe IIS pre Windows NT 4.0 a Windows 2000. Podrobnejší popis informácií, ktoré je popísané v tomto článku, nájdete Windows NT 4.0 a Windows 2000 Resource sprievodca.

Ďalšie informácie

Metódy overovania, ktoré sú k dispozícii pre systém Windows NT 4.0

Anonymný - bez prihlásenia požaduje a niekto nemá prístup k údajom, ktoré je chránené pomocou tejto metódy. Server používa vstavané konto (IUSR_ [názov počítača] štandardne) na kontrolu povolenia pre súbory. Prehliadač neposiela žiadne poverenia alebo používateľ s týmto typom žiadosť.
  • Podporované prehliadače: žiadne
  • Obmedzenia: žiadne
  • Používateľské práva vyžaduje: Anonymný používateľské konto na serveri definovaná musí mať "Prihlásiť sa lokálne" povolenia.
  • Typ šifrovania: žiadne
Basic (nešifrovaný Text) - server požaduje používateľ prihlásiť a dialógové okno sa objaví v prehliadači, ktorý umožňuje užívateľovi zadať poverenia, ktoré sú potrebné. Tieto poverenia sa musia zhodovať používateľské poverenia definované na súbory, ktoré používateľ sa pokúša o prístup.
  • Podporované prehliadače: žiadne
  • Obmedzenia: Nie veľmi bezpečné. Heslá sú ľahko rozlúštené.
  • Používateľské práva vyžaduje: Používateľské konto musí mať povolenia "Prihlásiť sa lokálne".
  • Typ šifrovania: Base 64 kódovanie (nie je pravda, šifrovanie)
Windows NT Challenge/Response - server požaduje používateľ prihlásiť. Ak prehľadávač podporuje Windows NT Challenge/Response, automaticky pošle poverení používateľa ak je používateľ prihlásený. Ak je doména používateľa na iné ako server domény, alebo ak používateľ nie je prihlásený, dialógové okno požadujúce poverenia na odoslanie. Windows NT Challenge/Response používa algoritmus pre generovanie hash na základe poverenia používateľa a počítača, ktorý používateľ používa. To potom odošle tento hash pre server. Prehliadač neposiela užívateľské heslo cez na server.
  • Podporované prehliadače: Internet Explorer verzie 3.01 alebo novšej
  • Obmedzenia: Vyžaduje pripojenie s nemennými bodmi pripojenia. Zvyčajne je uzavretý okruh po "401 nepovolené" chyba správy; však pri vyjednávaní postupnosti overovania Windows NT Challenge/Response, (čo vyžaduje viac spiatočné lety), server udržiava okruhu otvorené po dobu trvania sekvencie po klientovi naznačila, že bude používať Windows NT Challenge/Response. Proxy CERN a určité iné internetové zariadenia zabrániť to. Windows NT Challenge/Response tiež nepodporuje napodobňovanie Dvojlôžková-hop (v tom raz prešiel na IIS server, rovnaké poverenia nemôže byť postúpená back-end servera pre overovanie).
  • Používateľské práva vyžaduje: Používateľské konto, ktoré používa server musíte mať povolenia "Sprístupniť počítač zo siete".
  • Typ šifrovania: NTLM hashovací algoritmus, ktorý je tiež UUENCODE.
Objednávok priority: Keď prehliadač poziada, považuje vždy prvú žiadosť byť anonymný. Preto ju neposiela žiadne poverenia. Ak server neprijíma anonymný alebo ak anonymný používateľské konto na serveri nemá povolenia súboru požadovaných, IIS server reaguje s chybové hlásenie "Prístup odmietnutý" a odošle zoznam typov overenia, ktoré sú podporované pomocou jedného z týchto scenárov:
  • Ak Windows NT Challenge/Response je len podporované metóda (alebo ak zlyhá anonymný), potom prehliadač musí podporovať tento spôsob komunikácie so serverom. Inak to nedokáže vyjednávať so serverom a používateľ dostane "Prístup odmietnutý" chybové hlásenie.
  • Ak základné je len podporované metóda (alebo ak zlyhá anonymný), potom dialógové okno sa objaví v prehliadači získať poverenia a potom prechádza tieto poverenia pre server. Pokúsi odoslať tieto poverenia až trikrát. Ak sa to všetko nepodarí, prehliadač nie je pripojený k serveru.
  • Ak sú podporované Basic a Windows NT Challenge/Response, prehliadač určuje, ktorá metóda sa používa. Ak prehľadávač podporuje Windows NT Challenge/Response, to používa túto metódu a nemala klesnúť späť na Basic. Ak nie je podporovaný Windows NT Challenge/Response, prehliadač používa základné.
Poznámky
  • Keď prehľadávač vytvára spojenie s Web stránky pomocou základného alebo NTLM authentication, to nemala klesnúť späť na anonymný počas tejto relácie so serverom. Ak sa pokúsite pripojiť k webovej stránky, ktorá je označená za Anonym iba po overení, vám bude odmietnutý. (To môže alebo môže platiť pre Netscape).
  • Keď program Internet Explorer zistí pripojenie k serveru pomocou základného alebo NTLM authentication, to prejde poverení pre každú novú žiadosť po dobu trvania zasadnutia.

Metódy overovania, ktoré sú k dispozícii pre Windows 2000 a vyššie

Anonymný - bez prihlásenia požaduje a niekto nemá prístup k údajom chránený touto metódou. Server používa vstavané konto (IUSR_ [názov počítača] štandardne) na kontrolu povolenia pre súbory. Prehliadač neposiela žiadne poverenia alebo používateľ s týmto typom žiadosť.
  • Podporované prehliadače: žiadne
  • Obmedzenia: žiadne
  • Používateľské práva vyžaduje: Anonymous user account definované na serveri musíte mať "Prihlásiť sa lokálne" povolenia.
  • Typ šifrovania: žiadne
Basic (nešifrovaný Text) - server požaduje používateľ prihlásiť a dialógové okno sa objaví v prehliadači, ktorý umožňuje užívateľovi zadať poverenia, ktoré sú potrebné. Tieto poverenia sa musia zhodovať používateľské poverenia definované na súbory, ktoré používateľ sa pokúša o prístup.
  • Podporované prehliadače: žiadne
  • Obmedzenia: Nie veľmi bezpečné. Heslá sú ľahko rozlúštené.
  • Používateľské práva vyžaduje: Používateľské konto musí mať práva "Prihlásiť sa lokálne"
  • Typ šifrovania: Base 64 kódovanie (nie je pravda, šifrovanie)
Digest - server požaduje používateľ prihlásiť a tiež vysiela NONCE použitý na šifrovanie hesla. Prehliadač používa NONCE šifrovanie hesla a odošle na server. Server potom zašifruje vlastnú kópiu heslo používateľa a porovnáva dva. Ak sa zhodujú a používateľ má povolenia, je prístup.
  • Podporované prehliadače: Internet Explorer 5 a novšie verzie
  • Obmedzenia: Nie tak bezpečné ako integrované. Vyžaduje server na prístup k Active Directory Server, ktorý je nastavený pre súhrnné overovanie.
  • Používateľské práva vyžaduje: Vyžaduje heslá majú "Uložiť heslo ako šifrovaný nešifrovaný Text"
  • Typ šifrovania: Na základe NONCE odoslaný serverom.

Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
222028 Nastavenie Digest autentizácia pre použitie s Internet Information Services 5.0
Fortezza - používať Fortezza zabezpečenia s IIS 5.0, potrebujete mať súbor vhodný kryptografické poskytovateľ služby API (CSP) od poskytovateľa Fortezza ako http://www.spyrus.com.

Windows integrovaný (rozdelené na dve podkategórie)
Kerberos - server požaduje používateľ prihlásiť. Ak prehľadávač podporuje protokol Kerberos, takto koná:
  • IIS požaduje overenie.
  • Ak klient nebol prihlásený do domény, dialógové okno sa zobrazí v aplikácii Internet Explorer požadujúce poverenia a potom kontakty KDC požadovať a prijímať udelenie letenky. To potom odošle udelenie letenky spolu s informácie o serveri IIS KDC.
  • Ak IE klient má už úspešne prihlásený do domény a poskytnutie letenky, odošle túto letenku spolu s info o serveri IIS KDC
  • Služba KDC problémy klienta zdroj letenku.
  • Klient odovzdá tento lístok IIS server.
Protokol Kerberos používa vstupeniek vytvorené na letenku udelenie Server (KDC) overiť. Odošle tento lístok na IIS server. Prehliadač neposiela užívateľské heslo cez na server.
  • Podporované prehliadače: Internet Explorer verzie 5.0 a vyššie
  • Obmedzenia: server musí mať prístup k serveru služby Active Directory. Server a klient musí mať dôveryhodné spojenie KDC.
  • Používateľské práva vyžaduje: Anonymous user account definované na serveri musíte mať "Prihlásiť sa lokálne" povolenia.
  • Typ šifrovania: šifrované letenku.
Windows NT Challenge/Response - server požaduje používateľ prihlásiť. Ak prehľadávač podporuje Windows NT Challenge/Response, automaticky pošle poverení používateľa ak je používateľ prihlásený. Ak je doména používateľa na iné ako server domény, alebo ak používateľ nie je prihlásený, dialógové okno v programe Internet Explorer požadujúce poverenia poslať. Windows NT Challenge/Response používa algoritmus pre generovanie hash na základe poverenia používateľa a počítača, ktorý používateľ používa. To potom odošle tento hash pre server. Prehliadač neposiela užívateľské heslo cez na server.
  • Podporované prehliadače: Internet Explorer verzie 3.01 alebo novšej.
  • Obmedzenia: Vyžaduje pripojenie s nemennými bodmi pripojenia. Zvyčajne je uzavretý okruh po chybe "401 nepovolené" správy; však pri vyjednávaní poradia overovania Windows NT Challenge/Response (čo vyžaduje viac spiatočné lety), server udržiava okruhu otvorené po dobu trvania sekvencie po klientovi naznačila, že bude používať Windows NT Challenge/Response. Proxy CERN a určité iné internetové zariadenia zabrániť to. Tiež Windows NT Challenge/Response nepodporuje napodobňovanie Dvojlôžková-hop (čo znamená, že akonáhle prešiel na IIS server, rovnaké poverenia nemôžu postúpiť back-end servera pre overovanie, napríklad keď IIS používa Windows NT Challenge/Response, to potom zmenárnikov používateľovi proti databáze servera SQL Server na inom počítači pomocou SQL integrované zabezpečenie).
  • Používateľské práva vyžaduje: Používateľské konto prístup na server musíte mať povolenia "Sprístupniť počítač zo siete".
  • Typ šifrovania: NTLM hashovací algoritmus, ktorý je tiež UUENCODE.
Objednávok priority:Keď prehliadač poziada, považuje vždy prvú žiadosť byť anonymný. Preto ju neposiela žiadne poverenia. Ak server neprijíma anonymný alebo anonymný používateľské konto nastaviť na serveri nemá povolenia súboru požadovaných, IIS server reaguje s chybové hlásenie "Prístup odmietnutý" a odošle zoznam typov overenia, ktoré sú podporované pomocou jedného z týchto scenárov:
  • Ak Windows integrovaný je len podporované metóda (alebo ak zlyhá anonymný), potom prehliadač musí podporovať tento spôsob komunikácie so serverom. Ak sa to nepodarí, server nie skúsiť niektorú z iných metód.
  • Ak základné je len podporované metóda alebo ak anonymný zlyhá, potom dialógové okno sa objaví v získať poverenia, a potom prejde na server. Pokúsi odoslať poverenia až trikrát. Ak sa to všetko nepodarí, prehliadač sa nemôže pripojiť k serveru.
  • Ak sú podporované Basic a Windows integrované, prehliadač určuje, ktorá metóda sa používa. Ak prehľadávač podporuje protokol Kerberos alebo Windows NT Challenge/Response, to používa túto metódu. To nemala klesnúť späť na Basic. Ak nie sú podporované Windows NT Challenge/Response a Kerberos, prehliadač používa Basic, Digest alebo Fortezza ak to podporuje. Poradie tu je Basic, Digest a potom Fortezza.
Poznámky:
  • Keď prehľadávač vytvára spojenie s Web stránky pomocou Basic alebo Windows Integrované overovanie, to nemala klesnúť späť na anonymný počas tejto relácie so serverom. Ak sa pokúsite pripojiť k webovej stránky, ktorá je označená za Anonym iba po overení, sa zamietajú. (To môže alebo môže platiť pre Netscape).
  • Keď program Internet Explorer zistí spojenie so serverom pomocou overovaciu metódu ako Anonym, automaticky prejde poverení pre každú novú žiadosť počas trvania relácie.

Odkazy

Ďalšie informácie o konfigurovaní IIS webovej stránky autentizaci v systéme Windows Server 2003, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
324274 Ako konfigurovať IIS webovej stránky autentizaci v systéme Windows Server 2003
Ďalšie informácie o problémoch, ktoré môžu nastať, ak fond aplikácií webovej lokality, ktorý je hostiteľom aplikácie IIS 6.0 recykluje počas procesu overovania, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
902160 Dostanete "chyba HTTP 401" chybové hlásenia, a občas sa nemôže pripojiť na webovú lokalitu, ktorá je hostiteľom aplikácie IIS 6.0

Vlastnosti

ID článku: 264921 - Posledná kontrola: 19. novembra 2013 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Kľúčové slová: 
kbinfo kbmt KB264921 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 264921

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com