Mithilfe der Standardauthentifizierung zu Kerberos-Token

Veralteter Haftungsausschluss für KB-Inhalte

Dieser Artikel wurde für Produkte geschrieben, für die Microsoft keinen Support mehr anbietet. Deshalb wird dieser Artikel im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.

Zusammenfassung

Wenn Sie Standardauthentifizierung verwenden, die Verbindung zu einer Website, die von Internet Information Services (IIS) gehostet wird, können Sie nutzen die Stellvertretungsfunktionen Kerberos auf mehrere Back-End-Servern wie eine Microsoft SQL Server-Authentifizierung, die von Active Server Pages (ASP) mit IIS ausgeführt wird. Ein Kerberos-Token generiert muss IIS ein Mitglied einer Windows 2000-Domäne und Zugriff auf active Directory Domäne.


Hinweis Windows 2000-Domäne erzeugt ein Kerberos-Token bei die Domäne UPN Anmeldeinformationen vertrauenswürdiger Massachusetts Institute of Technology (MIT)-Kerberos-Bereich und authentifiziert Wenn Sie Standardauthentifizierung verwenden. Dieses Verhalten ist entwurfsbedingt.

Standardauthentifizierung Benutzerinformationen (Benutzername und Kennwort) in Klartext übermittelt sollte nur Standardauthentifizierung über Secure Socket Layer (SSL) Verbindung verwendet werden.

Weitere Informationen

Wenn IIS authentifiziert Paket wird durch Aufrufen der Funktion LsaLogonUser , die eine Authentifizierung wiederum Benutzer (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 für die Standardauthentifizierung). Bei der Standardauthentifizierung wird steht das folgende Ereignis Security Protokoll IIS 5.0-Server, vorausgesetzt die Richtlinie Anmeldeereignisse aktiviert ist:

Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:528
Date:1/5/2001
Time:6:11:04 PM
User:Win2kDomain\rvittal
Computer:IIS5server
Description:
Successful Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x148D0AC)
Logon Type: 2
Logon Process:IIS
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name:IIS5server<BR/>

Nachdem ein Benutzer mit der Standardauthentifizierung in IIS angemeldet hat, IIS die Anmeldeinformationen des Benutzers (Benutzername) hat und kann diese Anmeldeinformationen um einen Token zu generieren, der die Benutzeridentität auf anderen Computern verwendet werden kann. Wenn ein Benutzer eine Webseite, die Ressourcen auf einem anderen Windows 2000-Server verweist anfordert, der IIS-Server generiert ein Sicherheitstoken von Kerberos und ein Ereignis ähnlich der folgenden im Sicherheitsprotokoll auf dem Remoteserver geschrieben:


Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:540
Date:1/5/2001
Time:1:16:06 PM
User:Win2kDomain\rvittal
Computer:SQLbox
Description:
Successful Network Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x13A667F)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:

Beachten Sie, dass mit Kerberos nicht auf Standardauthentifizierung. Wenn ein Windows 2000-Client an einen IIS5-Server, der mit integrierter Authentifizierung konfiguriert ist, wird Kerberos-Authentifizierung standardmäßig verwendet.

Referenzen

Dieser Artikel basiert auf Informationen auf 109 folgendes Buch:

Howard, Michael Richard Waymire und Marc Levy. Designing Secure Web-Based Applications for Microsoft Windows 2000 (Redmond: Microsoft Press, Juli 2000), s. 109.

Weitere Informationen über IIS-Authentifizierungsmethoden finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

264921 wie IIS Browserclients authentifiziert

229694 installieren und Verwenden der IIS-Sicherheit wie "What If" Tool

Weitere Informationen zu Kerberos finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

217098 allgemeiner Überblick zur Kerberos-Benutzerauthentifizierung in Windows 2000

266080 beantwortet Fragen zu häufig gestelltem Kerberos

231789 Lokaler Anmeldevorgang für Windows 2000

Eigenschaften

Artikelnummer: 287537 – Letzte Überarbeitung: 23.01.2017 – Revision: 1

Feedback