Generovat Kerberos tokeny pomocí základního ověřování

Prohlášení o odmítnutí odpovědnosti pro už nepodporovaný obsah KB

Tento článek byl napsán pro produkty, ke kterým již Microsoft nadále nenabízí podporu. Článek je tedy poskytován „tak, jak je“ a nebude už nadále aktualizován.

Souhrn

Při použití základního ověřování pro připojení k webu, který je hostitelem v Internetová informační služba (IIS), můžete využít funkce delegování Kerberos ověření na více serverech back-end, jako je například Microsoft SQL Server, která je volána ze stránky ASP (Active Server) spuštěné na serveru IIS. Služby IIS ke generování tokenu protokolu Kerberos, musí být členem domény Windows 2000 a mít přístup ke službě active directory v dané doméně.


Poznámka: Domény systému Windows 2000 negeneruje tokenu protokolu Kerberos, pokud domény ověřuje pověření UPN proti Důvěryhodné sféry protokolu Kerberos Massachusetts Institute of Technology (MIT) a při použití základního ověřování. Toto chování je záměrné.

Protože základní ověřování přenáší informace uživatele (uživatelské jméno a heslo) ve formátu prostého textu, základní ověřování lze používat pouze prostřednictvím vrstvy SSL (Secure Socket) připojení.

Další informace

Při ověřování uživatele provede tak, že volání LsaLogonUser funkce, která zase volá ověřování balíček (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 pro základní ověřování). Nastane-li základní ověřování, následující událost zapsána do zabezpečení protokolu služby IIS 5.0 server za předpokladu, že je povolena zásada Auditovat události přihlášení:

Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:528
Date:1/5/2001
Time:6:11:04 PM
User:Win2kDomain\rvittal
Computer:IIS5server
Description:
Successful Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x148D0AC)
Logon Type: 2
Logon Process:IIS
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name:IIS5server<BR/>

Poté, co uživatel přihlásí do služby IIS pomocí základního ověřování, služba IIS má pověření daného uživatele (řetězec) a pomocí těchto pověření můžete vytvořit token, který lze použít k zosobnění uživatele v jiných počítačích. Pokud uživatel požaduje webovou stránku, která odkazuje na prostředky na jiném serveru Windows 2000, IIS server generuje token zabezpečení Kerberos a je na vzdáleném serveru v protokolu zabezpečení zaznamenána událost podobná následující:


Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:540
Date:1/5/2001
Time:1:16:06 PM
User:Win2kDomain\rvittal
Computer:SQLbox
Description:
Successful Network Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x13A667F)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:

Všimněte si, že pomocí protokolu Kerberos není omezen pouze na základní ověřování. Ve výchozím nastavení Pokud klient systému Windows 2000 připojí IIS5 server, který je nakonfigurován pomocí integrovaného ověřování, ověřování pomocí protokolu Kerberos slouží.

Odkazy

Tento článek vychází z informací uvedených na stránce 109 následující knihy:

Howard, Michael, Richard Waymire a Marc Levy. Designing Secure Web-Based Applications pro systém Windows 2000 (Praha: nakladatelství Microsoft Press, července 2000), s. 109.

Další informace o metodách ověřování služby IIS klepněte na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:

264921 jak klientských prohlížečů službou IIS

229694 jak nainstalovat a používat zabezpečení IIS "Co Pokud" nástroj

Další informace o protokolu Kerberos naleznete klepnutím na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:

217098 základní přehled protokolu Kerberos pro ověřování uživatelů v systému Windows 2000

266080 odpovědi na nejčastější dotazy Kerberos

231789 místní proces přihlášení k systému Windows 2000

Vlastnosti

ID článku: 287537 - Poslední kontrola: 23. 1. 2017 - Revize: 2

Váš názor