¿Cómo IIS autentica a los clientes del explorador

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 264921
Se recomienda encarecidamente que todos los usuarios actualizar a servicios de Internet Information Server (IIS) versión 7.0 se ejecuta en Windows Server 2008. IIS 7.0 aumenta considerablemente la seguridad de la infraestructura web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de IIS 7.0, vaya al sitio Web de Microsoft siguiente:
Resumen
Este artículo describe los distintos métodos de autenticación disponibles en IIS para Windows NT 4.0 y Windows 2000. Para obtener una descripción más completa de la información que se describe en este artículo, consulte el Windows NT 4.0 y guías de recursos de Windows 2000.
Más información

Métodos de autenticación que están disponibles para Windows NT 4.0

Anónimo - ningún inicio de sesión es necesario y cualquier persona puede tener acceso a datos protegidos con este método. El servidor usa un integrada cuenta (IUSR_ [nombre de equipo] de forma predeterminada) para controlar los permisos de los archivos. El explorador no envía las credenciales o información de usuario con este tipo de solicitud.
  • Los exploradores compatibles: cualquier
  • Limitaciones: ninguno
  • Derechos de usuario necesarios: La cuenta de usuario anónimo definida en el servidor debe tener permisos de "Inicio de sesión local".
  • Tipo de cifrado: ninguno
Básica (texto sin cifrar) - el servidor solicita al usuario que inicie sesión y aparece un cuadro de diálogo en el explorador que permite al usuario que escriba las credenciales necesarias. Estas credenciales deben coincidir con las credenciales de usuario definidas en los archivos que el usuario está intentando obtener acceso.
  • Los exploradores compatibles: cualquier
  • Limitaciones: No es muy seguro. Las contraseñas son fácilmente descifradas.
  • Derechos de usuario necesarios: La cuenta de usuario debe tener permisos de "Inicio de sesión local".
  • Tipo de cifrado: Codificación de Base 64 (no cifrado)
Desafío/respuesta de Windows NT : el servidor solicita al usuario que inicie sesión. Si el explorador admite desafío/respuesta de Windows NT, envía automáticamente las credenciales del usuario si el usuario ha iniciado sesión. Si el dominio en el que el usuario se encuentra en es diferente que el dominio del servidor, o si el usuario no ha iniciado sesión, un cuadro de diálogo aparece que solicita las credenciales para enviar. Desafío/respuesta de Windows NT utiliza un algoritmo para generar un valor hash basado en las credenciales del usuario y el equipo que está utilizando el usuario. A continuación, envía este hash en el servidor. El explorador no envía la contraseña del usuario a través de en el servidor.
  • Navegadores compatibles: Las versiones de Internet Explorer 3.01 y versiones posteriores
  • Limitaciones: Requiere conexión punto a punto. Normalmente, un circuito se cierra después de un error "401 no autorizado" del mensaje; Sin embargo, al negociar una secuencia de autenticación de desafío/respuesta de Windows NT (que requiere varios viajes de ida), el servidor mantiene el circuito abierto para la duración de la secuencia después de que el cliente ha indicado que utilizará desafío/respuesta de Windows NT. Los servidores proxy CERN y algunos otros dispositivos de Internet Esto impide funcionar. Además, desafío/respuesta de Windows NT no admite las suplantaciones doble salto (en que una vez que se pasa al servidor IIS, no se pueden pasar las mismas credenciales para un servidor back-end para la autenticación).
  • Derechos de usuario necesarios: La cuenta de usuario que tiene acceso el servidor debe tener permisos de "Acceso a este equipo desde la red".
  • Tipo de cifrado: Algoritmo de Hash de NTLM también es uuencode.
Orden de prioridad: Cuando el explorador realiza una solicitud, siempre se considera la primera solicitud sea anónimo. Por lo tanto, no se envía ninguna credencial. Si el servidor no acepta anónimo o si la cuenta de usuario anónimo configurado en el servidor no tiene permisos para el archivo solicitado, el servidor IIS responde con un mensaje de error "Acceso denegado" y envía una lista de los tipos de autenticación que se admiten mediante uno de los siguientes escenarios:
  • Si es el único desafío/respuesta de Windows NT admite el método (o si se produce un error en anónimo), a continuación, el explorador debe admitir este método para comunicarse con el servidor. De lo contrario, no puede negociar con el servidor y el usuario recibe un mensaje de error "Acceso denegado".
  • Si es el único Basic admite el método (o si se produce un error en anónimo), a continuación, un cuadro de diálogo aparece en el navegador para obtener las credenciales y, a continuación, pasa estas credenciales al servidor. Intente enviar estas credenciales hasta tres veces. Si todo esto falla, el explorador no está conectado al servidor.
  • Si se admiten Basic y desafío/respuesta de Windows NT, el explorador determinará el método que utiliza. Si el explorador admite desafío/respuesta de Windows NT, se utiliza este método y no recurrirá a Basic. Si no se admite el desafío/respuesta de Windows NT, el explorador utiliza Basic.
Notas
  • Cuando el explorador establece una conexión con un sitio Web mediante la autenticación básica o NTLM, no recurrirá a anónimo durante el resto de la sesión con el servidor. Si intenta conectarse a una página Web que está marcada para anónimo sólo después de autenticar, denegará. (Esto puede o no contener true para Netscape).
  • Cuando Internet Explorer ha establecido una conexión con el servidor mediante la autenticación básica o NTLM, pasa las credenciales para cada nueva solicitud para la duración de la sesión.

Métodos de autenticación que están disponibles para Windows 2000 y versiones posteriores

Anónimo - ningún inicio de sesión es necesario y cualquier persona puede tener acceso a los datos protegidos con este método. El servidor usa un integrada cuenta (IUSR_ [nombre de equipo] de forma predeterminada) para controlar los permisos de los archivos. El explorador no envía las credenciales o información de usuario con este tipo de solicitud.
  • Los exploradores compatibles: cualquier
  • Limitaciones: ninguno
  • Derechos de usuario necesarios: La cuenta de usuario anónimo definida en el servidor debe tener permisos de "Inicio de sesión local".
  • Tipo de cifrado: ninguno
Básica (texto sin cifrar) - el servidor solicita al usuario que inicie sesión y aparece un cuadro de diálogo en el explorador que permite al usuario que escriba las credenciales necesarias. Estas credenciales deben coincidir con las credenciales de usuario definidas en los archivos que el usuario está intentando obtener acceso.
  • Los exploradores compatibles: cualquier
  • Limitaciones: No es muy seguro. Las contraseñas son fácilmente descifradas.
  • Derechos de usuario necesarios: La cuenta de usuario debe tener derechos de "Inicio de sesión local"
  • Tipo de cifrado: Codificación de Base 64 (no cifrado)
Resumen - el servidor solicita al usuario que inicie sesión y también envía un valor NONCE que se utiliza para cifrar la contraseña. El explorador utiliza el valor NONCE para cifrar la contraseña y ésta envía al servidor. El servidor cifra su propia copia de la contraseña del usuario y compara los dos. Si coinciden y el usuario tiene permisos de acceso.
  • Los exploradores admitidos: Internet Explorer 5 y versiones posteriores
  • Limitaciones: No tan segura como integrado. Requiere que el servidor tenga acceso a un servidor de Active Directory que está configurado para la autenticación de texto implícita.
  • Derechos de usuario necesarios: Requiere contraseñas que "Guardar contraseña como texto sencillo cifrado"
  • Tipo de cifrado: Se basa en el valor NONCE enviado por el servidor.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
222028 Configuración de autenticación de texto implícita para su uso con servicios de Internet Information Server 5.0
Fortezza - utilizar la seguridad Fortezza en IIS 5.0, debe tener un archivo adecuado del proveedor de servicios criptográficos API (CSP) de un proveedor de Fortezza como http://www.spyrus.com.

Integrada de Windows (que se divide en dos categorías sub)
Kerberos - el servidor solicita un usuario para iniciar sesión. Si el explorador admite Kerberos, ocurrirá lo siguiente:
  • Solicita la autenticación IIS.
  • Si el cliente no ha iniciado sesión en un dominio, un cuadro de diálogo aparece en Internet Explorer solicita las credenciales y se pone en contacto con el KDC para solicitar y recibir un vale de concesión de vales. A continuación, envía el vale de concesión de vales junto con información sobre el servidor IIS en el KDC.
  • Si el cliente de IE correctamente ya ha iniciado sesión en el dominio y recibe un vale de concesión de vales, envía este vale junto con información sobre el servidor IIS en el KDC.
  • El KDC emite al cliente un vale de recursos.
  • El cliente pasa este vale para el servidor de IIS.
Kerberos utiliza vales generadas en un servidor de concesión de vale (KDC) para autenticar. Envía este vale para el servidor de IIS. El explorador no envía la contraseña del usuario a través de en el servidor.
  • Los navegadores soportados: Las versiones Internet Explorer 5.0 o superior
  • Limitaciones: el servidor debe tener acceso a un servidor de Active Directory. El servidor y el cliente deben tener una conexión de confianza en un KDC.
  • Derechos de usuario necesarios: La cuenta de usuario anónimo definida en el servidor debe tener permisos de "Inicio de sesión local".
  • Tipo de cifrado: cifrar el vale.
Desafío/respuesta de Windows NT : el servidor solicita al usuario que inicie sesión. Si el explorador admite desafío/respuesta de Windows NT, envía automáticamente las credenciales del usuario si el usuario ha iniciado sesión. Si el dominio en el que el usuario se encuentra en es diferente que el dominio del servidor, o si el usuario no ha iniciado sesión, aparece un cuadro de diálogo de Internet Explorer solicita las credenciales para enviar. Desafío/respuesta de Windows NT utiliza un algoritmo para generar un valor hash basado en las credenciales del usuario y el equipo que está utilizando el usuario. A continuación, envía este hash en el servidor. El explorador no envía la contraseña del usuario a través de en el servidor.
  • Navegadores compatibles: Internet Explorer versión 3.01 y posteriores.
  • Limitaciones: Requiere conexión punto a punto. Normalmente, un circuito se cierra después de un error "401 no autorizado" del mensaje; Sin embargo, al negociar una secuencia de autenticación desafío/respuesta de Windows NT (que requiere varios viajes de ida), el servidor mantiene el circuito abierto para la duración de la secuencia después de que el cliente ha indicado que utilizará desafío/respuesta de Windows NT. Los servidores proxy CERN y algunos otros dispositivos de Internet Esto impide funcionar. Además, desafío/respuesta de Windows NT no admite las suplantaciones doble salto no (lo que significa que una vez que se pasa al servidor IIS, las mismas credenciales no pueden pasar a un servidor back-end para autenticación, por ejemplo, cuando IIS usa desafío/respuesta de Windows NT, puede, a continuación, autenticar el usuario frente a una base de datos de SQL Server en otro equipo mediante la seguridad integrada de SQL).
  • Derechos de usuario necesarios: El servidor de acceso a la cuenta de usuario debe tener permisos de "Acceso a este equipo desde la red".
  • Tipo de cifrado: Algoritmo de Hash de NTLM también es uuencode.
Orden de prioridad:Cuando el explorador realiza una solicitud, siempre se considera la primera solicitud sea anónimo. Por lo tanto, no se envía ninguna credencial. Si el servidor no acepta anónimo o establece la cuenta de usuario anónimo en el servidor no tiene permisos para el archivo solicitado, el servidor IIS responde con un mensaje de error "Acceso denegado" y envía una lista de los tipos de autenticación que se admiten mediante uno de los siguientes escenarios:
  • Si es la única integrada de Windows admite el método (o si se produce un error en anónimo), a continuación, el explorador debe admitir este método para comunicarse con el servidor. Si se produce un error, el servidor no pruebe cualquiera de los otros métodos.
  • Si Basic es el único admitido método (o si se produce un error en anónimo), entonces un cuadro de diálogo aparece en la para obtener las credenciales y a continuación, se pasa al servidor. Intenta enviar las credenciales hasta tres veces. Si todo esto falla, el explorador no se conecta al servidor.
  • Si se admiten tanto básica y Windows integrada, el explorador determinará el método que utiliza. Si el explorador admite Kerberos o desafío/respuesta de Windows NT, se utiliza este método. No recurrirá a Basic. Si no se admite el desafío/respuesta de Windows NT y Kerberos, el explorador utiliza básica, implícita o Fortezza si es compatible con ellos. El orden de prioridad aquí es Basic, Digest y, a continuación, Fortezza.
Notas:
  • Cuando el explorador establece una conexión con un sitio Web mediante el uso de la autenticación básica o integrada de Windows, no recurrirá a anónimo durante el resto de la sesión con el servidor. Si intenta conectarse a una página Web que está marcada para anónimo sólo después de la autenticación, se le denegará. (Esto puede o no contener true para Netscape).
  • Cuando Internet Explorer ha establecido una conexión con el servidor mediante el uso de un método de autenticación que no sea anónima, pasa automáticamente las credenciales para cada nueva solicitud durante la duración de la sesión.
Referencias
Para obtener más información acerca de cómo configurar la autenticación de un sitio Web de IIS en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324274 Cómo configurar la autenticación de sitios Web de IIS en Windows Server 2003
Para obtener más información acerca de los problemas que pueden producirse si un grupo de aplicaciones del sitio Web alojado en IIS 6.0 se recicla durante el proceso de autenticación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
902160 Aparece "HTTP Error 401" mensajes de error y de forma intermitente que no puede conectarse a un sitio Web que está alojado en IIS 6.0

Advertencia: este artículo se tradujo automáticamente

Properties

Article ID: 264921 - Last Review: 11/18/2013 19:06:00 - Revision: 1.0

Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Servicios de Microsoft Internet Information Server 6.0, Microsoft Internet Explorer 6.0, Windows Internet Explorer 7, Windows Internet Explorer 8, Windows Internet Explorer 9 on Windows Server

  • kbinfo kbmt KB264921 KbMtes
Feedback