Utilizar la autenticación básica para generar símbolos (tokens) de Kerberos

Exención de responsabilidades de contenido KB retirado

Este artículo se refiere a productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Resumen

Cuando utiliza la autenticación básica para conectarse a un sitio Web alojado por servicios de Internet Information Server (IIS), puede aprovechar las características de delegación de Kerberos para autenticar en varios servidores de servicios de fondo, como un Microsoft SQL Server que se llama desde el de páginas Active Server (ASP) se ejecutan en IIS. Para generar un token Kerberos, IIS debe ser miembro de un dominio de Windows 2000 y tener acceso a active directory de ese dominio.


Nota: Un dominio de Windows 2000 no genera un símbolo (token) de Kerberos cuando el dominio autentica las credenciales UPN contra un territorio Kerberos de Massachusetts Institute of Technology (MIT) confianza y cuando se utiliza la autenticación básica. Este comportamiento es por diseño.

Dado que la autenticación básica transmite información del usuario (nombre de usuario y contraseña) en texto no cifrado, autenticación básica sólo debe utilizarse con conexiones de Secure Socket Layer (SSL).

Más información

Cuando IIS autentica los usuarios lo hace por llamar a la función LsaLogonUser , que a su vez llama a una autenticación del paquete (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 para la autenticación básica). Cuando se produce la autenticación básica, se escribe el suceso siguiente en el servidor de registro de IIS 5.0 de seguridad, suponiendo que está habilitada la directiva Auditar sucesos de inicio de sesión:

Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:528
Date:1/5/2001
Time:6:11:04 PM
User:Win2kDomain\rvittal
Computer:IIS5server
Description:
Successful Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x148D0AC)
Logon Type: 2
Logon Process:IIS
Authentication Package:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name:IIS5server<BR/>

Después de que un usuario ha iniciado sesión en IIS con autenticación básica, IIS disponga de las credenciales del usuario (nombreDeUsuario: contraseña) y puede utilizar esas credenciales para generar un token que se puede utilizar para suplantar al usuario en otros equipos. Cuando un usuario solicita una página Web que hace referencia a recursos en otro servidor de Windows 2000, el servidor IIS genera un token de seguridad Kerberos y se escribe un suceso similar al siguiente en el registro de seguridad en el servidor remoto:


Event Type:Success AuditEvent Source:Security
Event Category:Logon/Logoff
Event ID:540
Date:1/5/2001
Time:1:16:06 PM
User:Win2kDomain\rvittal
Computer:SQLbox
Description:
Successful Network Logon:
User Name: rvittal
Domain:Win2kDomain
Logon ID:(0x0,0x13A667F)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:

Tenga en cuenta que no se limita a la autenticación básica mediante Kerberos. De forma predeterminada, si un cliente de Windows 2000 se conecta a un servidor de IIS5 se configura con la autenticación integrada, se utiliza la autenticación Kerberos.

Referencias

En este artículo se basa en la información proporcionada en la página 109 del libro siguiente:

Howard, Michael, Richard Waymire y Marc Levy. Diseñar aplicaciones seguras basadas en Web para Microsoft Windows 2000 (Redmond: Microsoft Press, julio de 2000), p. 109.

Para obtener más información acerca de los métodos de autenticación en IIS, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

264921 cómo IIS autentica a los clientes del explorador

229694 cómo instalar y utilizar la seguridad de IIS herramienta "What If"

Para obtener más información acerca de Kerberos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

217098 visión general básica del protocolo de autenticación de usuario de Kerberos en Windows 2000

266080 respuestas a preguntas frecuentes sobre Kerberos

231789 el proceso de inicio de sesión local para Windows 2000

Propiedades

Id. de artículo: 287537 - Última revisión: 21 ene. 2017 - Revisión: 1

Comentarios