在使用基本身份验证生成 Kerberos 标记

文章翻译 文章翻译
文章编号: 287537 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

当您使用基本身份验证连接到由 Internet Information Services (IIS) 作为宿主的网站时,您可以利用 Kerberos 进行身份验证从 Active Server Pages (ASP) 运行在 IIS 上调用一个 Microsoft SQL Server such as 的多个后端服务器上的委派功能。若要生成 Kerberos 令牌,IIS 必须是 Windows 2000 域的成员,而且必须对那个域的活动目录的访问权限。

注意当域身份验证的 UPN 凭据对受信任的麻省理工学院 (MIT) Kerberos 领域,并使用基本身份验证时,Windows 2000 的域不会生成 Kerberos 的标记。此行为是设计使然。

因为基本身份验证以明文形式传输用户信息 (用户名和密码),仅应通过安全套接字层 (SSL) 连接使用基本身份验证。

更多信息

当 IIS 身份验证的用户时它会通过调用 LsaLogonUser 函数反过来调用身份验证程序包 (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 用于基本身份验证)。基本身份验证时,假定已启用审核登录事件策略在安全日志 IIS 5.0 服务器写入以下事件:
Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	528
Date:		1/5/2001
Time:		6:11:04 PM
User:		Win2kDomain\rvittal
Computer:	IIS5server
Description:
Successful Logon:
 	User Name:       	rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x148D0AC)
 	Logon Type:	             2
 	Logon Process:	IIS     
 	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Workstation Name:	IIS5server<BR/>
				
用户已登录到 IIS,使用基本身份验证后,IIS 具有该用户的凭据 (username:password),并可以使用这些凭据来生成一个可用于模拟其他计算机上的用户的令牌。当用户请求引用了另一台 Windows 2000 服务器上的资源的 Web 页时,IIS 服务器产生 Kerberos 安全令牌,并在远程服务器上的安全日志中写入事件类似于以下内容:


Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	540
Date:		1/5/2001
Time:		1:16:06 PM
User:		Win2kDomain\rvittal
Computer:	SQLbox
Description:
Successful Network Logon:
 	User Name:	             rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x13A667F)
 	Logon Type:	             3
 	Logon Process:	             Kerberos
 	Authentication Package: Kerberos
 	Workstation Name:	
				
注意使用 Kerberos 是不局限于基本身份验证。默认状态下,如果附加到 IIS5 服务器配置为具有集成的身份验证的 Windows 2000 客户机使用 Kerberos 身份验证。

参考

这篇文章基于以下书中的页 109 上提供的信息:

霍华德、 Michael、 刘维 Waymire 和 Marc Levy 中。设计安全基于 Web 的应用程序对于 Microsoft Windows 2000(雷德蒙: Microsoft 按 2000 年七月),第 109。

有关在 IIS 中的身份验证方法的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
264921IIS 对浏览器客户端进行身份验证
229694如何安装和使用 IIS 安全"怎样如果"工具
有关 Kerberos 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
217098在 Windows 2000 中的 Kerberos 用户身份验证协议的基本概述
266080Kerberos 常见问题的解答
231789对于 Windows 2000 的本地登录过程

属性

文章编号: 287537 - 最后修改: 2006年11月21日 - 修订: 3.1
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
关键字:?
kbmt kbinfo KB287537 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 287537
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
不再更新的 KB 内容免责声明
本文介绍那些 Microsoft 不再提供支持的产品。因此本文按“原样”提供,并且不再更新。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com