使用基本驗證來產生 Kerberos 語彙基元 (Token)

文章翻譯 文章翻譯
文章編號: 287537 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

使用基本驗證連接到裝載在網際網路資訊服務 (IIS) 的網站時您可以利用委派功能的 Kerberos 驗證如 Microsoft SQL Server 所呼叫從動態伺服器網頁 (ASP) 在 IIS 上執行的多個後端伺服器上。若要產生 Kerberos 語彙基元,IIS 必須是 Windows 2000 網域的成員,而且可以存取該網域的作用中的目錄。

附註當網域驗證 UPN 認證對受信任的麻州協會的技術 (MIT) Kerberos 領域,以及當您使用基本驗證時,Windows 2000 網域並不會產生 Kerberos 語彙基元。這種行為是經過設計規劃的。

因為基本驗證會以純文字傳輸使用者資訊 (使用者名稱和密碼),只應使用基本驗證透過安全通訊端層 (SSL) 連線。

其他相關資訊

當 IIS 驗證使用者時這麼藉由呼叫 LsaLogonUser 函式接著會呼叫驗證封裝 (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 基本驗證)。基本驗證時下列事件會寫入安全性記錄檔 IIS 5.0 伺服器假設啟用 [稽核登入事件] 原則:
Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	528
Date:		1/5/2001
Time:		6:11:04 PM
User:		Win2kDomain\rvittal
Computer:	IIS5server
Description:
Successful Logon:
 	User Name:       	rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x148D0AC)
 	Logon Type:	             2
 	Logon Process:	IIS     
 	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Workstation Name:	IIS5server<BR/>
				
IIS 使用者已登入 IIS 使用基本驗證之後具有該使用者的認證 (username:password),而且可以使用這些認證產生可以用來模擬其他電腦上的使用者的權杖。當使用者要求參考另一個 Windows 2000 伺服器上的資源的網頁時, IIS 伺服器會產生 Kerberos 安全性語彙基元,且遠端伺服器上的安全性記錄檔中寫入類似下列的事件:


Event Type:	Success Audit
Event Source:	Security
Event Category:	Logon/Logoff 
Event ID:	540
Date:		1/5/2001
Time:		1:16:06 PM
User:		Win2kDomain\rvittal
Computer:	SQLbox
Description:
Successful Network Logon:
 	User Name:	             rvittal
 	Domain:		Win2kDomain
 	Logon ID:		(0x0,0x13A667F)
 	Logon Type:	             3
 	Logon Process:	             Kerberos
 	Authentication Package: Kerberos
 	Workstation Name:	
				
請注意使用 Kerberos 是不限於基本驗證。預設情況下,如果 Windows 2000 用戶端附加到 IIS5 的伺服器以整合式驗證設定,會使用 Kerberos 驗證。

?考

本文根據下列書籍 109 頁上所提供的資訊:

Howard、 Michael、 羅 Waymire 及馬詳盡。設計安全應用以 Web 為基礎程式為 Microsoft Windows 2000(台北市: Microsoft 按 2000 年七月),p.109。

如更多有關在 IIS 中的驗證方法的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
264921IIS 驗證瀏覽器用戶端的方式
229694如何安裝並使用 IIS 安全性 」 那如果 」 工具
如需有關 Kerberos 的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
217098在 Windows 2000 中的 Kerberos 使用者驗證通訊協定的基本概觀
266080常見問題集 Kerberos 問題的答案
231789在 Windows 2000 的本機登入程序

屬性

文章編號: 287537 - 上次校閱: 2006年11月21日 - 版次: 3.1
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
關鍵字:?
kbmt kbinfo KB287537 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:287537
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
依現狀不再更新的知識庫內容免責聲明
本文旨在說明 Microsoft 不再提供支援的產品。因此,本文係依「現狀」提供,不會再更新。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com