À utiliser l'authentification de base pour générer des jetons Kerberos

Traductions disponibles Traductions disponibles
Numéro d'article: 287537 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Lorsque vous utilisez l'authentification de base pour vous connecter à un site Web qui est hébergé par les services Internet (IIS), vous pouvez tirer parti des fonctionnalités de délégation de Kerberos pour s'authentifier sur plusieurs serveurs back-end, comme un Microsoft SQL Server qui est appelée à partir de pages ASP (Active Server) en cours d'exécution sur les services Internet (IIS). Pour générer un jeton Kerberos, les services Internet (IIS) doit être un membre d'un domaine Windows 2000 et disposer accès au répertoire actif de ce domaine.

note Un domaine Windows 2000 ne génère pas un jeton Kerberos lorsque le domaine authentifie les informations d'identification UPN par rapport à un domaine Kerberos du Massachusetts Institute of Technology (MIT) fiable et lorsque vous utilisez l'authentification de base. Ce comportement est voulu par la conception même du produit.

Étant donné que l'authentification de base transmet les informations utilisateur (nom d'utilisateur et mot de passe) en texte clair, l'authentification de base doit uniquement être utilisée sur les connexions SSL (Secure Sockets Layer).

Plus d'informations

LORSQU'IIS authentifie les utilisateurs qu'il fait en appelant la fonction LsaLogonUser , qui à son tour appelle un package d'authentification (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 pour l'authentification de base). Lorsque l'authentification de base se produit, l'événement suivant est écrit dans le serveur de journal IIS 5.0 de sécurité, en supposant que la stratégie d'audit des événements d'ouverture de session est activée :
Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	528
Date:		1/5/2001
Time:		6:11:04 PM
User:		Win2kDomain\rvittal
Computer:	IIS5server
Description:
Successful Logon:
 	User Name:       	rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x148D0AC)
 	Logon Type:	             2
 	Logon Process:	IIS     
 	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Workstation Name:	IIS5server<BR/>
				
après qu'un utilisateur est connecté à IIS avec l'authentification de base, IIS dispose d'informations d'identification cet utilisateur (username:password) et pouvez utiliser ces informations d'identification pour générer un jeton qui peut servir à emprunter l'identité l'utilisateur sur d'autres ordinateurs. Lorsqu'un utilisateur demande une page Web qui fait référence à ressources sur un autre serveur Windows 2000, le serveur IIS génère un jeton de sécurité Kerberos et un événement semblable à celui-ci est écrites dans le journal de sécurité sur le serveur distant :


Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	540
Date:		1/5/2001
Time:		1:16:06 PM
User:		Win2kDomain\rvittal
Computer:	SQLbox
Description:
Successful Network Logon:
 	User Name:	             rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x13A667F)
 	Logon Type:	             3
 	Logon Process:	             Kerberos
 	Authentication Package: Kerberos
 	Workstation Name:	
				
Remarque que l'aide de Kerberos n'est pas limité à l'authentification de base. Par défaut, si un client Windows 2000 s'attache à un serveur IIS5 qui est configuré avec l'authentification intégrée, l'authentification Kerberos est utilisée.

Références

Cet article repose sur les informations fournies dans la page 109 de l'ouvrage suivant :

Howard, Michael Richard Waymire et Marc prélèvement. Création Secure Web-Based Applications for Microsoft Windows 2000 (Redmond : Microsoft Press, juillet 2000), p. 109.

Pour plus d'informations sur les méthodes d'authentification dans IIS, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
264921 Comment IIS authentifie les clients de navigateur
229694 Comment installer et utiliser la sécurité IIS « What Si « outil
Pour plus d'informations sur Kerberos, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
217098 Vue d'ensemble de protocole d'authentification utilisateur Kerberos dans Windows 2000
266080 Répond à Kerberos Forum aux questions
231789 Processus d'ouverture de session locale pour Windows 2000

Propriétés

Numéro d'article: 287537 - Dernière mise à jour: mardi 21 novembre 2006 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbmt kbinfo KB287537 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 287537
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com