本文介绍如何在 Windows Server 2003 中配置 Microsoft Internet 信息服务 (IIS) 网站身份验证。您可以对 IIS 进行配置,以便在允许用户访问网站、站点中的某个文件夹甚至该站点某个文件夹中包含的特定文档之前对用户进行身份验证。IIS 中的身份验证可用于提高不允许普通用户查看的站点、文件夹和文档的安全级别。
如果不打算让匿名用户或普通用户访问资源,而经过批准的用户必须能够通过 Internet 访问 Web 服务器,则 IIS 中的身份验证至关重要。需要身份验证访问控制的网站应用程序示例包括 Microsoft Outlook Web Access (OWA) 和 Microsoft 终端服务高级客户端。
如何配置 IIS 中的身份验证
- 启动“IIS 管理器”或者打开 IIS 管理单元。
- 展开 Server_name,其中 Server_name 是服务器的名称,然后展开网站。
- 在控制台树中,右键单击您要配置身份验证的网站、虚拟目录或文件,然后单击属性。
- 单击目录安全性或文件安全性选项卡(根据需要),然后在“匿名和访问控制”下单击编辑。
- 单击以选中您要使用的一种或多种身份验证方法旁边的复选框,然后单击确定。
默认设置的身份验证方法是“匿名访问”和“集成 Windows 身份验证”:
- 匿名访问:如果启用了匿名访问,访问站点时,不要求提供经过身份验证的用户凭据。当需要让大家公开访问那些没有安全要求的信息时,使用此选项最合适。用户尝试连接您的网站时,IIS 会将该连接分配给 IUSER_ComputerName 帐户,其中 ComputerName 是运行 IIS 的服务器的名称。默认情况下,IUSER_ComputerName 帐户为 Guests 组的成员。此组具有 NTFS 文件系统权限所规定的安全限制,这些限制指定访问级别以及可提供给公共用户的内容的类型。要编辑用于匿名访问的 Windows 帐户,请在“匿名访问”框中单击浏览。
重要说明:如果启用匿名访问,IIS 会始终先使用匿名身份验证来尝试验证用户身份,即使您启用其他身份验证方法也是如此。 - 集成 Windows 身份验证:以前称为 NTLM 或 Windows NT 质询/响应身份验证,此方法以 Kerberos 票证的形式通过网络向用户发送身份验证信息,并提供较高的安全级别。Windows 集成身份验证使用 Kerberos 版本 5 和 NTLM 身份验证。要使用此方法,客户端必须使用 Microsoft Internet Explorer 2.0 或更高版本。另外,不支持通过 HTTP 代理连接进行 Windows 集成身份验证。如果某个 Intranet 中的用户和 Web 服务器计算机在同一个域中,并且管理员可以确保每个用户都使用 Internet Explorer 2.0 或更高版本,那么对于这个 Intranet,使用此选项是最合适的。
注意:如果选择了多个身份验证选项,IIS 会首先尝试协商最安全的方法,然后它按可用身份验证协议的列表向下逐个试用其他协议,直到找到客户端和服务器都支持的某种共有的身份验证协议。 - Windows 域服务器的摘要式身份验证:摘要式身份验证需要用户 ID 和密码,可提供中等的安全级别,如果您要允许从公共网络访问安全信息,则可以使用这种方法。这种方法与基本身份验证提供的功能相同。但是,此方法会将用户凭据作为 MD5 哈希或消息摘要在网络中进行传输,这样就无法根据哈希对原始用户名和密码进行解码。要使用此方法,客户端必须使用 Microsoft Internet Explorer 5.0 或更高版本,Web 客户端和 Web 服务器必须是相同域的成员或者被相同域信任。
如果启用摘要式身份验证,请在领域框中键入领域名称。 - 基本身份验证(以明文形式发送密码):基本身份验证需要用户 ID 和密码,提供的安全级别较低。用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低,因为几乎所有协议分析程序都能读取密码。但是,它与大多数 Web 客户端兼容。如果允许用户访问的信息没有什么隐私性或不需要保护,使用此选项最为合适。
如果启用基本身份验证,请在“默认域”框中键入要使用的域名。您还可以选择在领域框中输入一个值。 - Microsoft .NET Passport 身份验证:.NET Passport 身份验证提供了单一登录安全性,为用户提供对 Internet 上各种服务的访问权限。如果选择此选项,对 IIS 的请求必须在查询字符串或 Cookie 中包含有效的 .NET Passport 凭据。如果 IIS 不检测 .NET Passport 凭据,请求就会被重定向到 .NET Passport 登录页。
注意:如果选择此选项,所有其他身份验证方法都将不可用(显示为灰色)。
- 另一种类型的身份验证是基于发出请求的主机而不是用户凭据。您可以根据源 IP 地址、源网络 ID 或源域名来限制访问。要配置这种身份验证,请按下列步骤操作:
- 在“IP 地址和域名限制”下,单击编辑。
- 执行下列操作之一:
- 要拒绝访问,请单击授权访问,然后单击添加。在出现的拒绝访问对话框中,指定所需的选项,然后单击确定。
您指定的计算机、计算机组或域将添加到列表中。
- 或者 - - 要授予访问权限,请单击拒绝访问,然后单击添加。在出现的授权访问对话框中,选择所需的选项,然后单击确定。
您选择的计算机、计算机组或域将添加到列表中。
- 单击确定。
- 单击确定,然后退出“IIS 管理器”或关闭 IIS 管理单元。
疑难解答
- 系统可能会提示您应用对现有站点所做的任何更改。如果您希望将身份验证更改应用到其他内容,请从子节点列表中单击该内容,然后单击确定。如果您不希望将更改应用到任何子节点,请不要选中列表中的任何项目,然后单击确定。
- 在 IIS 中,您可以在网站、目录或文件级别设置身份验证选项。本文讨论的原则同样适用于其中每种情况。
文章编号: 324274 - 最后修改: 2007年12月4日 - 修订: 6.3
这篇文章中的信息适用于:
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2003, 64-Bit Datacenter Edition
- Microsoft Windows Server 2003, Enterprise x64 Edition
- Microsoft Internet Information Services 6.0
| kbhowto kbhowtomaster kbwebservices kbappservices KB324274 |
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端
