IIS 验证浏览器客户端的身份

文章翻译 文章翻译
文章编号: 264921 - 查看本文应用于的产品
我们强烈建议所有用户都升级到 Internet Information Services (IIS) 7.0 版 Windows Server 2008 上运行。IIS 7.0 大幅提高 web 安全基础结构。有关 IIS 安全性的相关主题的详细信息,请访问以下 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
有关 IIS 7.0 的详细信息,请访问以下 Microsoft 网站:
http://www.iis.net/default.aspx?tabid=1
展开全部 | 关闭全部

本文内容

概要

本文介绍了 IIS,Windows NT 4.0 和 Windows 2000 中可用的不同身份验证方法。在本文中讨论的信息的详细说明,请参阅 Windows NT 4.0 和 Windows 2000 资源指南。

更多信息

对于 Windows NT 4.0 可用的身份验证方法

匿名-无登录是必需的任何人都有权对使用这种方法受保护的数据进行访问。服务器使用一个内置帐户 (默认情况下为 IUSR_ [计算机名]) 控制文件上的权限。浏览器不会发送任何凭据或使用这种请求的用户信息。
  • 支持的浏览器: 任何
  • 限制: 无
  • 所需的用户权限: 在服务器上定义的匿名用户帐户必须具有"在本机登录"权限。
  • 加密类型: 无
基本身份验证 (明文) -服务器请求用户登录,使用户可以输入所需凭据的浏览器中将显示一个对话框。这些凭据必须与在用户尝试访问的文件中定义的用户凭据相匹配。
  • 支持的浏览器: 任何
  • 限制: 不是非常安全。密码也容易被解码。
  • 所需的用户权限: 用户帐户必须具有"在本机登录"权限。
  • 加密类型: 基 64 编码 (加密不正确)
Windows NT 质询/响应-服务器请求用户登录。如果浏览器支持 Windows NT 质询/响应,它自动发送用户凭据如果用户已登录。如果用户所在的域不同于服务器的域中,或用户没有登录,则会出现一个对话框,请求发送凭据。Windows NT 质询/响应使用算法来生成哈希,基于用户的凭据和用户使用的计算机。然后将此散列发送到服务器。浏览器不发送用户的密码发送到服务器。
  • 3.01 版及更高版本的浏览器支持: Internet Explorer 版本
  • 限制: 需要点到点的连接。通常情况下,电路关闭后"401 未经授权"的错误消息。但是,在协商时 Windows NT 质询/响应身份验证序列 (这需要多个往返行程),服务器保留电路打开序列的持续时间后,客户端已经表示它将使用 Windows NT 质询/响应。CERN 代理服务器和某些其他 Internet 设备防止此工作。此外,Windows NT 质询/响应不支持双跃点模拟 (因为传递到 IIS 服务器之后,不能将相同的凭据传递到后端服务器进行身份验证)。
  • 所需的用户权限: 访问服务器的用户帐户必须具有"访问网络从这台计算机"权限。
  • 也是容易被解码的加密类型: NTLM 哈希算法。
的优先级顺序:当浏览器发出请求时,它始终认为第一个请求是匿名。因此,它不发送任何凭据。如果服务器不接受匿名或,如果匿名用户帐户上设置服务器没有权限请求,IIS 服务器将使用"拒绝访问"错误消息进行响应并发送列表支持通过使用以下方案之一的身份验证类型的文件:
  • 如果 Windows NT 质询/响应是唯一受支持的方法 (或者如果匿名将失败),则浏览器必须支持此方法才能与服务器通信。否则为它不能与服务器协商,并且用户会收到"访问被拒绝"错误消息。
  • 如果基本身份验证是唯一受支持的方法 (或者如果匿名将失败),然后一个对话框出现在浏览器中获取的凭据,然后将这些凭据传递到服务器。它将尝试三次发送这些凭据。如果三次都失败,浏览器未连接到服务器。
  • 如果支持的基本和 Windows NT 质询/响应,浏览器将决定使用哪种方法。如果浏览器支持 Windows NT 质询/响应,它将使用此方法并不会回退到基本。如果不支持 Windows NT 质询/响应,则浏览器将使用基本。
注释
  • 当您的浏览器使用基本或 NTLM 身份验证建立了与网站的连接时,它不会回退到匿名在与服务器的会话的其余部分。如果您尝试对 Web 页进行身份验证后,仅标记为匿名连接,则会被拒绝。(这可能或可能不成立的 Netscape)。
  • 当 Internet Explorer 使用基本或 NTLM 身份验证建立了与服务器的连接时,它将为每个新请求的凭据传递会话的持续时间。

提供用于 Windows 2000 及更的身份验证方法

匿名-无登录是必需的允许任何人利用这种方法保护数据访问。服务器使用一个内置帐户 (默认情况下为 IUSR_ [计算机名]) 控制文件上的权限。浏览器不会发送任何凭据或使用这种请求的用户信息。
  • 支持的浏览器: 任何
  • 限制: 无
  • 所需的用户权限: 在服务器上定义的匿名用户帐户必须具有"在本机登录"权限。
  • 加密类型: 无
基本身份验证 (明文) -服务器请求用户登录,使用户可以输入所需凭据的浏览器中将显示一个对话框。这些凭据必须与在用户尝试访问的文件中定义的用户凭据相匹配。
  • 支持的浏览器: 任何
  • 限制: 不十分安全。密码也容易被解码。
  • 所需的用户权限: 用户帐户必须具有"在本机登录"权限
  • 加密类型: 基 64 编码 (加密不正确)
摘要-服务器请求用户登录,也会使用密码进行加密 NONCE 发送。浏览器使用 NONCE 加密密码,并将其发送到服务器。服务器然后对自己的用户的密码的副本进行加密并将两者进行比较。如果它们相互匹配,并且用户具有的权限,并被授予访问权限。
  • 浏览器支持: Internet Explorer 5 或更高版本
  • 限制: 不是作为集成的安全。要求服务器有权访问活动目录服务器的摘要式身份验证设置。
  • 所需的用户权限: 要求具有"保存加密的明文形式的密码"的密码
  • 加密类型: 根据现时由服务器发送。

有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
222028 设置用于 Internet Information Services 5.0 摘要式身份验证
Fortezza -Fortezza 安全使用 IIS 5.0,需要有适当的加密 API 服务提供程序 (CSP) 文件,如 http://www.spyrus.com Fortezza 提供程序提供。

Windows 集成 (拆分成两个的子类别)
Kerberos -服务器请求用户登录。如果浏览器支持 Kerberos,将发生以下:
  • IIS 请求身份验证。
  • 如果客户端未登录到域,对话框中将出现在 Internet Explorer 请求凭据,然后联系 KDC 请求和接收授权票证的票证。然后,它将授权票证的票证与有关 IIS 服务器的信息一起发送到 KDC。
  • 如果 IE 客户端具有已成功登录到域,并且收到授权票证的票证,它将此票证与有关 IIS 服务器的信息一起发送到 KDC
  • KDC 向客户端发放一个资源票证。
  • 客户端将此票证发送到 IIS 服务器。
Kerberos 使用票证生成在票证授予服务器 (KDC) 进行身份验证。它将此票证发送到 IIS 服务器。浏览器不发送用户的密码发送到服务器。
  • 浏览器支持: Internet Explorer 版本 5.0 及以上
  • 限制: 服务器必须有权访问 活动目录(AD) 服务器。服务器和客户端必须信任的连接到 KDC。
  • 所需的用户权限: 在服务器上定义的匿名用户帐户必须具有"在本机登录"权限。
  • 加密类型: 加密的票证。
Windows NT 质询/响应-服务器请求用户登录。如果浏览器支持 Windows NT 质询/响应,它自动发送用户凭据如果用户已登录。如果用户所在的域不同于服务器的域中,或用户没有登录,对话框中将出现在 Internet Explorer 请求的凭据来发送。Windows NT 质询/响应使用算法来生成哈希,基于用户的凭据和用户使用的计算机。然后将此散列发送到服务器。浏览器不发送用户的密码发送到服务器。
  • 3.01 版及更高版本的浏览器支持: Internet Explorer 版本。
  • 限制: 需要点到点的连接。通常情况下,电路关闭后"401 未经授权"的错误消息。但是,在协商时 Windows NT 质询/响应身份验证序列 (这需要多个往返行程),服务器保留电路打开序列的持续时间后,客户端已经表示它将使用 Windows NT 质询/响应。CERN 代理服务器和某些其他 Internet 设备防止此工作。此外,Windows NT 质询/响应中不支持双跃点模拟 (即传递到 IIS 服务器之后,相同的凭据不能被传递给后端服务器进行身份验证,例如,当 IIS 使用 Windows NT 质询/响应,它不能再对另一台计算机上的 SQL Server 数据库的用户使用进行身份验证 SQL 集成安全性)。
  • 所需的用户权限: 访问服务器的用户帐户必须具有"访问网络从这台计算机"权限。
  • 也是容易被解码的加密类型: NTLM 哈希算法。
的优先级顺序:当浏览器发出请求时,它始终认为第一个请求是匿名。因此,它不发送任何凭据。如果服务器不接受匿名,或者如果在服务器上设置的匿名用户帐户没有权限请求,IIS 服务器将使用"拒绝访问"错误消息进行响应并发送列表支持通过使用以下方案之一的身份验证类型的文件:
  • 如果 Windows 集成是唯一受支持的方法 (或者如果匿名将失败),则浏览器必须支持此方法才能与服务器通信。如果此操作失败,服务器将不尝试任何其他方法。
  • 如果基本身份验证是唯一受支持方法 (或如果匿名无法正常工作),然后一个对话框将出现在获取凭据,然后将其与服务器进行传递。它将尝试三次发送这些凭据。如果三次都失败,浏览器将无法连接到服务器。
  • 如果支持的基本和 Windows 集成,浏览器将决定使用哪种方法。如果浏览器支持 Kerberos 或 Windows NT 质询/响应,它将使用此方法。它不会回退到基本。如果不支持 Windows NT 质询/响应和 Kerberos,则浏览器将使用基本、 摘要或 Fortezza 如果它支持这些。这里的顺序是基本、 摘要和 Fortezza。
备注
  • 当您的浏览器使用基本或 Windows 集成身份验证建立了与网站的连接时,它不会回退到匿名在与服务器的会话的其余部分。如果您尝试连接到某个 Web 页标记为匿名身份验证后,才时,您将被拒绝。(这可能或可能不成立的 Netscape)。
  • 当 Internet Explorer 使用非匿名身份验证方法建立了与服务器的连接时,它自动为每个新请求的凭据过程中传递会话的持续时间。

参考

有关如何配置 IIS Web 站点的身份验证,Windows Server 2003 中的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
324274 如何配置 IIS Web 站点的身份验证,Windows Server 2003 中
如果在 IIS 6.0 承载网站应用程序池回收在身份验证过程中可能出现的问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
902160 您将收到"HTTP 错误 401"错误消息,并且您会间歇性地无法连接到一个 Web 站点,以承载于 IIS 6.0 上

属性

文章编号: 264921 - 最后修改: 2013年11月19日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
关键字:?
kbinfo kbmt KB264921 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 264921
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com