Utilizzando l'autenticazione di base per generare token Kerberos

Traduzione articoli Traduzione articoli
Identificativo articolo: 287537 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Quando si utilizza l'autenticazione di base per connettersi a un sito Web ospitato da Internet Information Services (IIS), Ŕ possibile sfruttare le funzionalitÓ di delega di Kerberos per autenticare su pi¨ server back-end, ad esempio Microsoft SQL Server che viene chiamato da ASP (Active Server Pages) eseguite in IIS. Per generare un token Kerberos, IIS deve essere membro di un dominio di Windows 2000 e hanno accesso a active directory di quel dominio.

Nota Un dominio di Windows 2000 non genera un token Kerberos quando il dominio autentica le credenziali UPN con area di autenticazione attendibile Kerberos Massachusetts Institute of Technology (MIT) e quando si utilizza l'autenticazione di base. Questo comportamento legato alla progettazione.

PoichÚ l'autenticazione di base trasmette le informazioni utente (nome utente e password) in testo non crittografato, l'autenticazione di base deve essere utilizzato solo su connessioni SSL (Secure Socket Layer).

Informazioni

IIS autentica gli utenti non operazione chiamando la funzione LsaLogonUser , che a sua volta chiama un pacchetto di autenticazione (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 per l'autenticazione di base). Quando si verifica l'autenticazione di base, l'evento riportato di seguito Ŕ scritto il server di registro IIS 5.0 di protezione, supponendo che il criterio Controlla eventi di accesso Ŕ attivato:
Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	528
Date:		1/5/2001
Time:		6:11:04 PM
User:		Win2kDomain\rvittal
Computer:	IIS5server
Description:
Successful Logon:
 	User Name:       	rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x148D0AC)
 	Logon Type:	             2
 	Logon Process:	IIS     
 	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Workstation Name:	IIS5server<BR/>
				
dopo che un utente Ŕ connesso in IIS con l'autenticazione di base, IIS dispone di credenziali dell'utente (username:password) e possibile utilizzare le credenziali per generare un token che pu˛ essere utilizzato per rappresentare l'utente in altri computer. Quando un utente richiede una pagina Web che fa riferimento alle risorse di un altro server Windows 2000, il server IIS genera un token di protezione Kerberos e che un evento analogo al seguente viene scritto nel Registro di protezione sul server remoto:


Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	540
Date:		1/5/2001
Time:		1:16:06 PM
User:		Win2kDomain\rvittal
Computer:	SQLbox
Description:
Successful Network Logon:
 	User Name:	             rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x13A667F)
 	Logon Type:	             3
 	Logon Process:	             Kerberos
 	Authentication Package: Kerberos
 	Workstation Name:	
				
nota l'utilizzo di Kerberos Ŕ non solo l'autenticazione di base. Per impostazione predefinita, se un client Windows 2000 si collega a un server IIS 5 Ŕ configurato con l'autenticazione integrata, l'autenticazione Kerberos Ŕ utilizzata.

Riferimenti

In questo articolo si basa sulle informazioni fornite nella pagina 109 del libro seguente:

Howard, Michael, Richard Waymire e Marc tassa. Progettazione Secure Web-based Applications for Microsoft Windows 2000 (Redmond: Mondadori informatica, luglio 2000), p. 109.

Per ulteriori informazioni sui metodi di autenticazione in IIS, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
264921Come IIS esegue l'autenticazione dei client browser
229694Come installare e utilizzare della protezione di IIS strumento "What If"
Per ulteriori informazioni su Kerberos, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
217098Protocollo di autenticazione Kerberos utente in Windows 2000 per informazioni generali
266080Risposte alle domande pi¨ frequenti di Kerberos
231789Processo di accesso locale per Windows 2000

ProprietÓ

Identificativo articolo: 287537 - Ultima modifica: martedý 21 novembre 2006 - Revisione: 3.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 5.0
Chiavi:á
kbmt kbinfo KB287537 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 287537
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Dichiarazione di non responsabilitÓ per articoli della Microsoft Knowledge Base su prodotti non pi¨ supportati
Questo articolo Ŕ stato scritto sui prodotti per cui Microsoft non offre pi¨ supporto. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com