استخدام المصادقة الأساسية لإنشاء الرموز المميزة Kerberos

ملخص

عند استخدام المصادقة الأساسية للاتصال بموقع ويب تتم استضافته من قبل خدمات معلومات إنترنت (IIS)، يمكنك الاستفادة من ميزات تفويض Kerberos للمصادقة على عدة خوادم الواجهة الأمامية، مثل Microsoft SQL Server التي يتم استدعاؤها من صفحات الملقم النشطة (ASP) يقوم بتشغيل IIS. لإنشاء رمز مميز Kerberos، يجب أن تكون عضوا في مجال Windows 2000 IIS والوصول إلى active directory للمجال.


ملاحظة: لا مجال Windows 2000 بإنشاء رمز مميز Kerberos عندما المجال مصادقة بيانات اعتماد UPN مقابل نطاق Kerberos "معهد ماساتشوستس للتكنولوجيا" (MIT) الموثوق بها وعند استخدام المصادقة الأساسية. يعتبر هذا السلوك حسب التصميم.

لأن المصادقة الأساسية تنقل معلومات المستخدم (اسم المستخدم وكلمة المرور) بنص واضح، يجب استخدام المصادقة الأساسية فقط عبر اتصالات طبقة مأخذ التوصيل الآمنة (SSL).

مزيد من المعلومات

عند مصادقة IIS حزمة يفعل ذلك من خلال استدعاء الدالة LsaLogonUser ، الذي يستدعي بدوره مصادقة المستخدمين (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 للمصادقة الأساسية). عند حدوث المصادقة الأساسية، يتم كتابة الحدث التالي إلى الملقم تسجيل IIS 5.0 الأمن افتراض تمكين نهج "تدوين أحداث تسجيلات الدخول":

Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:528
Date:1/5/2001
Time:6:11:04 PM
User:Win2kDomain\rvittal
Computer:IIS5server
Description:
Successful Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x148D0AC)
Logon Type: 2
Logon Process:IIS
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name:IIS5server<BR/>

بعد قيام مستخدم بتسجيل في IIS باستخدام المصادقة الأساسية، IIS بيانات الاعتماد للمستخدم (اسم)، ويمكن استخدام بيانات الاعتماد هذه لإنشاء رمز مميز يمكن استخدامها لانتحال صفة المستخدم على أجهزة الكمبيوتر الأخرى. عندما يطلب مستخدم صفحة ويب يشير إلى الموارد الموجودة على ملقم Windows 2000 آخر، ينشئ ملقم IIS رمز أمان Kerberos ويتم كتابة حدث مشابهة لما يلي في سجل الأمان على الملقم البعيد:


Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:540
Date:1/5/2001
Time:1:16:06 PM
User:Win2kDomain\rvittal
Computer:SQLbox
Description:
Successful Network Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x13A667F)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:

لاحظ أن استخدام Kerberos لا يقتصر على المصادقة الأساسية. بشكل افتراضي، إذا تم إرفاق عميل Windows 2000 بملقم IIS5 تم تكوينه باستخدام المصادقة المتكاملة، يتم استخدام مصادقة Kerberos.

المراجع

هذه الوثيقة استناداً إلى المعلومات الواردة في الصفحة 109 من الكتاب التالي:

هوارد مايكل، ويمير ريتشارد ومارك ليفي. تصميم التطبيقات المستندة إلى ويب آمنة لنظام التشغيل Microsoft Windows 2000 (القاهرة: Microsoft Press، تموز/يوليه 2000)، ص 109.

لمزيد من المعلومات حول أساليب المصادقة في IIS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

264921 IIS كيفية مصادقة عملاء المستعرض

229694 كيفية تثبيت واستخدام أمان IIS أداة "ماذا لو"

لمزيد من المعلومات حول Kerberos، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

217098 عامة أساسية Kerberos بروتوكول المصادقة المستخدم في Windows 2000

266080 إجابات للأسئلة المتداولة Kerberos

عملية تسجيل الدخول المحلي 231789 لنظام التشغيل Windows 2000

خصائص

رقم الموضوع: 287537 - آخر مراجعة: 12‏/01‏/2017 - المراجعة: 1

تعليقات