IIS 驗證瀏覽器用戶端的方式

文章翻譯 文章翻譯
文章編號: 264921 - 檢視此文章適用的產品。
我們強烈建議所有使用者都升級到網際網路資訊服務 (IIS) 7.0 版 Windows Server 2008 上執行。IIS 7.0 能夠大幅提升網頁基礎結構的安全性。如需有關 IIS 安全性相關的主題的詳細資訊,請移至下列 Microsoft 網站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
如需有關 IIS 7.0 的詳細資訊,請移至下列 Microsoft 網站:
http://www.iis.net/default.aspx?tabid=1
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴 IIS 的 Windows NT 4.0 和 Windows 2000 中可用的不同驗證方法。如本文中所討論的資訊更完整描述,請參閱 Windows NT 4.0 和 Windows 2000 資源輔助線。

其他相關資訊

適用於 Windows NT 4.0 的驗證方法

匿名不登入要求,而且任何人都可以存取以這個方法保護的資料。伺服器會使用內建帳戶 (預設的 IUSR_ [電腦名稱]) 中來控制檔案的權限。瀏覽器不會傳送任何憑證或使用者資訊,這種類型的要求。
  • 支援的瀏覽器: 任何
  • 限制: 無
  • 必要的使用者權利: 伺服器上定義的匿名使用者帳戶必須具有 「 本機登入 」 權限。
  • 加密類型: 無
基本 (純文字) -伺服器要求使用者登入,並且允許使用者輸入所需的認證瀏覽器中會出現一個對話方塊。這些認證必須符合在使用者嘗試存取的檔案上定義的使用者認證。
  • 支援的瀏覽器: 任何
  • 限制: 並非很安全。密碼很容易被破解。
  • 必要的使用者權利: 使用者帳戶必須具有 「 本機登入 」 權限。
  • 加密類型: Base 64 編碼 (不正確加密)
Windows NT 挑戰/回應伺服器要求使用者登入。如果瀏覽器支援 Windows NT 挑戰/回應,它會自動傳送使用者的認證的使用者登入。如果使用者的網域不同伺服器的網域或使用者未登入,會出現一個對話方塊,要求傳送認證。Windows NT 挑戰/回應會使用演算法來產生雜湊根據使用者的認證,並使用使用者的電腦。然後將這個雜湊傳送到伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。
  • 瀏覽器支援: Internet Explorer 版本 3.01 及更新版本
  • 限制: 需要點對點式連線。通常,電路關閉之後 「 401 未授權 」 的錯誤訊息。不過,交涉時 Windows NT 挑戰/回應驗證順序 (這需要多重往返),伺服器保持電路開啟順序期間用戶端已指出該網域控制站會使用 Windows NT 挑戰/回應之後。CERN proxy 和某些其他網際網路裝置使這無法運作。此外,Windows NT 挑戰/回應不支援雙躍點模擬 (在於一旦傳遞給 IIS 伺服器時,相同的認證不能傳遞至後端伺服器進行驗證)。
  • 必要的使用者權利: 正在存取伺服器的使用者帳戶必須具有 「 這台電腦從網路存取 」 權限。
  • 也是 uuencode 的加密類型: NTLM 雜湊演算法。
優先順序:當瀏覽器提出要求時,就永遠會視為第一個匿名要求。因此,它不會傳送任何認證。如果伺服器不接收匿名,或是,如果匿名使用者帳戶上設定伺服器並沒有權限要求,IIS 伺服器會回應 「 拒絕存取 」 錯誤訊息,並且傳送藉由使用下列方案之一所支援的驗證類型清單的檔案:
  • 如果 Windows NT 挑戰/回應是唯一支援的方法 (或如果匿名失敗),然後瀏覽器必須支援這個方法,以與伺服器通訊。否則,它無法與伺服器交涉,使用者會收到 「 拒絕存取 」 錯誤訊息。
  • 如果基本驗證是唯一支援的方法 (或如果匿名失敗),然後對話方塊會出現在瀏覽器取得認證,然後將這些認證傳遞至伺服器。它會嘗試傳送這些憑證三次。如果傳送皆失敗,瀏覽器不會連線到伺服器。
  • 如果同時支援基本驗證和 Windows NT 挑戰/回應是,瀏覽器會決定使用哪一種方法。如果瀏覽器支援 Windows NT 挑戰/回應,它會使用這個方法,並不會不改為基本。如果不支援 Windows NT 挑戰/回應,瀏覽器會使用基本。
注意
  • 當您的瀏覽器使用基本驗證或 NTLM 驗證來建立與 Web 站台的連線時,它不會不回到匿名期間與伺服器工作階段的其餘部分。如果您嘗試連線至已標記為匿名驗證後才的網頁,則會被拒絕。(這可能會或可能不持有,則為 true 的 Netscape)。
  • Internet Explorer 已建立與伺服器的連線,使用基本驗證或 NTLM 驗證,它會針對每個新要求的認證傳遞工作階段期間。

可為 Windows 2000 和以上的驗證方法

匿名不登入要求,而且任何人都可以存取以這個方法保護的資料。伺服器會使用內建帳戶 (預設的 IUSR_ [電腦名稱]) 中來控制檔案的權限。瀏覽器不會傳送任何憑證或使用者資訊,這種類型的要求。
  • 支援的瀏覽器: 任何
  • 限制: 無
  • 必要的使用者權利: 伺服器上定義的匿名使用者帳戶必須具有 「 本機登入 」 權限。
  • 加密類型: 無
基本 (純文字) -伺服器要求使用者登入,並且允許使用者輸入所需的認證瀏覽器中會出現一個對話方塊。這些認證必須符合在使用者嘗試存取的檔案上定義的使用者認證。
  • 支援的瀏覽器: 任何
  • 限制: 並非很安全。密碼很容易被破解。
  • 必要的使用者權利: 使用者帳戶必須擁有 「 本機登入 」 權限
  • 加密類型: Base 64 編碼 (不正確加密)
摘要伺服器會要求使用者登入,並且也會傳送用來加密密碼的 NONCE。瀏覽器使用 NONCE 將密碼加密,並傳送到伺服器。伺服器再加密它自己的使用者密碼的複本,並進行比對。如果兩者相符,使用者有權限是授與存取權。
  • 瀏覽器支援: Internet Explorer 5 及更新版本
  • : 限制安全性不如整合式驗證。需要伺服器已設定為 [摘要式驗證使用中目錄伺服器的存取權。
  • 必要的使用者權利: 要求具有 「 儲存為加密純文字密碼 」 的密碼
  • 加密類型: 根據由伺服器所傳送的 NONCE。

如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
222028 設定網際網路資訊服務 5.0 使用摘要式驗證
Fortezza -Fortezza 安全性使用 IIS 5.0 版,您必須要有適當的密碼編譯 API 服務提供者 (CSP) 檔案從 Fortezza 提供者,例如 http://www.spyrus.com。

Windows 整合式驗證 (分割成兩個的子類別)
Kerberos伺服器要求使用者登入。如果瀏覽器支援 Kerberos,下列會發生:
  • IIS 要求驗證。
  • 如果用戶端尚未登入網域,對話方塊會出現在 Internet Explorer 要求認證,並再連絡 KDC 要求,並收到由票證所授與的票證。接著會由票證所授與的票證連同 IIS 伺服器的相關資訊一起傳送給 KDC。
  • 如果 IE 用戶端有已經順利登入網域,並收到由票證所授與的票證,它會傳送這個票證連同 IIS 伺服器相關的資訊一起至 KDC
  • KDC 發行資源票證的用戶端。
  • 用戶端會將這個票證傳送到 IIS 伺服器。
Kerberos 驗證用於產生在票證授與伺服器 (KDC) 的票證。它會將這個票證傳送到 IIS 伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。
  • 瀏覽器支援: Internet Explorer 版本 5.0 及以上
  • 限制: 伺服器必須有使用中的目錄伺服器的存取權。伺服器和用戶端必須有受信任的連線至 KDC。
  • 必要的使用者權利: 伺服器上定義的匿名使用者帳戶必須具有 「 本機登入 」 權限。
  • 加密類型: 加密票證。
Windows NT 挑戰/回應伺服器要求使用者登入。如果瀏覽器支援 Windows NT 挑戰/回應,它會自動傳送使用者的認證的使用者登入。如果使用者的網域不同伺服器的網域或使用者未登入,在傳送要求認證 Internet Explorer 中會出現一個對話方塊。Windows NT 挑戰/回應會使用演算法來產生雜湊根據使用者的認證,並使用使用者的電腦。然後將這個雜湊傳送到伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。
  • 瀏覽器支援: Internet Explorer 3.01 及更新版本。
  • 限制: 需要點對點式連線。一般而言,在 「 401 未授權 」 的錯誤之後關閉電路訊息 ;不過,交涉時 Windows NT 挑戰/回應驗證順序 (這需要多重往返),伺服器保持電路開啟順序期間用戶端已指出該網域控制站會使用 Windows NT 挑戰/回應之後。CERN proxy 和某些其他網際網路裝置使這無法運作。此外,Windows NT 挑戰/回應不支援雙躍點模擬 (也就是說一旦傳遞給 IIS 伺服器時,相同的認證無法傳遞到後端伺服器進行驗證,例如,當 IIS 使用 Windows NT 挑戰/回應,它就無法再驗證使用者對 SQL Server 資料庫,在另一台電腦上使用 SQL 整合式安全性)。
  • 必要的使用者權利: 存取伺服器的使用者帳戶必須具有 「 這台電腦從網路存取 」 權限。
  • 也是 uuencode 的加密類型: NTLM 雜湊演算法。
優先順序:當瀏覽器提出要求時,就永遠會視為第一個匿名要求。因此,它不會傳送任何認證。如果伺服器不接收匿名,或在伺服器上設定的匿名使用者帳戶沒有權限要求,IIS 伺服器會回應 「 拒絕存取 」 錯誤訊息,並且傳送藉由使用下列方案之一所支援的驗證類型清單的檔案:
  • 如果 Windows 整合式驗證是唯一支援的方法 (或如果匿名失敗),然後瀏覽器必須支援這個方法,以與伺服器通訊。如果失敗,伺服器不會嘗試任何其他方法。
  • 如果基本驗證是唯一支援方法 (或如果匿名失敗),然後對話方塊會出現在將取得的認證,然後將傳遞給伺服器。它會嘗試傳送認證最多三次。如果傳送皆失敗,瀏覽器就不會連線到伺服器。
  • 如果支援基本驗證和 Windows 整合式驗證,瀏覽器會決定使用哪一種方法。如果瀏覽器支援 Kerberos 或 「 Windows NT 挑戰/回應,它會使用這個方法。它不會不改為基本。如果不支援 Windows NT 挑戰/回應和 Kerberos,瀏覽器使用基本、 摘要式或 Fortezza 如果這些支援它。以下的優先順序是基本、 摘要式和 Fortezza。
附註
  • 當您的瀏覽器使用基本或整合式 Windows 驗證來建立與 Web 站台的連線時,它不會不回到匿名期間與伺服器工作階段的其餘部分。如果您嘗試連線至已標記為匿名驗證後才的網頁,則會被拒絕。(這可能會或可能不持有,則為 true 的 Netscape)。
  • Internet Explorer 已建立與伺服器連線所使用的驗證方法不是匿名,它會自動傳遞每個新要求的認證在工作階段的這段期間。

?考

如需有關如何在 Windows Server 2003 中設定 IIS Web 網站驗證的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
324274 如何在 Windows Server 2003 中設定 IIS Web 網站驗證
如需有關裝載於 IIS 6.0 的網站應用程式集區回收在驗證程序期間可能發生的問題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
902160 您會收到 「 HTTP 錯誤 401 」 錯誤訊息,請與您間歇性地無法連線到裝載於 IIS 6.0 的網站

屬性

文章編號: 264921 - 上次校閱: 2013年11月19日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
關鍵字:?
kbinfo kbmt KB264921 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:264921
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com