СЛУЖБЫ IIS проверяют подлинность клиентов браузера

  • Статья

В этой статье описывается, как СЛУЖБЫ IIS выполняют проверку подлинности клиентов браузера.

Исходная версия продукта: Интернет-Обозреватель
Исходный номер базы знаний: 264921

Сводка

В этой статье описываются различные методы проверки подлинности, доступные в IIS для Windows NT 4.0, Windows 2000 и более поздних версий Windows. Более полное описание сведений, которые рассматриваются в этой статье, см. в руководствах по ресурсам Windows NT 4.0 и Windows 2000.

Методы проверки подлинности, доступные для Windows NT 4.0

Анонимный— вход не требуется, и любой пользователь может получить доступ к данным, защищенным этим методом. Сервер использует встроенную учетную запись (IUSR_[имя компьютера] по умолчанию) для управления разрешениями на файлы. Браузер не отправляет учетные данные или сведения о пользователе с этим типом запроса.

  • Поддерживаемые браузеры: Любой
  • Ограничения: нет
  • Необходимые права пользователя. Учетная запись анонимного пользователя, определенная на сервере, должна иметь разрешения на локальный вход .
  • Тип шифрования: Нет

Базовый (очистить текст) — сервер запрашивает у пользователя вход, и в браузере появляется диалоговое окно, позволяющее пользователю ввести необходимые учетные данные. Эти учетные данные должны соответствовать учетным данным пользователя, определенным в файлах, к которым пользователь пытается получить доступ.

  • Поддерживаемые браузеры: Любой
  • Ограничения: небезопасно. Пароли легко расшифровываются.
  • Необходимые права пользователя. Учетная запись пользователя должна иметь разрешения на локальный вход .
  • Тип шифрования: кодировка Base 64 (не верное шифрование)

Windows NT запрос или ответ. Сервер запрашивает у пользователя вход в систему. Если браузер поддерживает Windows NT запрос или ответ, он автоматически отправляет учетные данные пользователя, если пользователь вошел в систему. Если домен, в который находится пользователь, отличается от домена сервера или если пользователь не вошел в систему, появится диалоговое окно с запросом учетных данных для отправки. Windows NT запрос/ответ использует алгоритм для создания хэша на основе учетных данных пользователя и компьютера, используемого пользователем. Затем он отправляет этот хэш на сервер. Браузер не отправляет пароль пользователя на сервер.

  • Поддерживаемые браузеры: Internet Обозреватель версии 3.01 и более поздних

  • Ограничения. Требуется подключение типа "точка — точка". Как правило, канал закрывается после сообщения об ошибке "401 unauthorized". однако при согласовании последовательности проверки подлинности Windows NT "Вызов/ответ" (для которой требуется несколько кругового пути) сервер сохраняет канал открытым на протяжении всего периода после того, как клиент указывает, что он будет использовать Windows NT запрос/ответ. Прокси-серверы CERN и некоторые другие интернет-устройства не позволяют работать. Кроме того, Windows NT запрос/ответ не поддерживает олицетворения с двойным прыжком (в том случае, если после отправки на сервер IIS одни и те же учетные данные не могут быть переданы на внутренний сервер для проверки подлинности).

  • Необходимые права пользователя. Учетная запись пользователя, которая обращается к серверу, должна иметь разрешения "Доступ к этому компьютеру из сети".

  • Тип шифрования: алгоритм хэша NTLM, который также не закодирован.

Порядок приоритета: Когда браузер выполняет запрос, он всегда считает первый запрос анонимным. Поэтому учетные данные не отправляются. Если сервер не принимает анонимный или если учетная запись анонимного пользователя, установленная на сервере, не имеет разрешений на запрашиваемый файл, сервер IIS отвечает сообщением об ошибке "Доступ запрещен " и отправляет список типов проверки подлинности, поддерживаемых в одном из следующих сценариев:

  • Если Windows NT запрос или ответ является единственным поддерживаемым методом (или если сбой анонимного), браузер должен поддерживать этот метод для взаимодействия с сервером. В противном случае он не может согласовать с сервером, и пользователь получит сообщение об ошибке Отказано в доступе .
  • Если базовый метод является единственным поддерживаемым методом (или сбоем Anonymous), в браузере появляется диалоговое окно для получения учетных данных, а затем передает эти учетные данные на сервер. Он пытается отправить эти учетные данные до трех раз. Если все эти действия завершаются ошибкой, браузер не будет подключен к серверу.
  • Если поддерживаются как базовый, так и Windows NT запрос/ответ, браузер определяет, какой метод используется. Если браузер поддерживает Windows NT challenge/Response, он использует этот метод и не возвращается к базовому. Если Windows NT запрос или ответ не поддерживается, браузер использует базовый.

Примечание.

  • Когда браузер устанавливает подключение к веб-сайту с помощью Basic или NTLM проверки подлинности, он не возвращается к anonymous в течение оставшейся части сеанса с сервером. Если вы попытаетесь подключиться к веб-странице, которая помечена как Анонимная только после проверки подлинности, вам будет отказано. (Это может быть или не так для Netscape).
  • Когда интернет-Обозреватель установил соединение с сервером с помощью Basic или NTLM проверки подлинности, он передает учетные данные для каждого нового запроса на время сеанса.

Методы проверки подлинности, доступные для Windows 2000 и более поздних версий

Анонимный— вход не требуется, и любой пользователь может получить доступ к данным, защищенным этим методом. Сервер использует встроенную учетную запись (IUSR_[имя компьютера] по умолчанию) для управления разрешениями на файлы. Браузер не отправляет учетные данные или сведения о пользователе с этим типом запроса.

  • Поддерживаемые браузеры: Любой
  • Ограничения: нет
  • Необходимые права пользователя. Учетная запись анонимного пользователя, определенная на сервере, должна иметь разрешения на локальный вход.
  • Тип шифрования: Нет

Базовый (очистить текст) — сервер запрашивает у пользователя вход, и в браузере появляется диалоговое окно, позволяющее пользователю ввести необходимые учетные данные. Эти учетные данные должны соответствовать учетным данным пользователя, определенным в файлах, к которым пользователь пытается получить доступ.

  • Поддерживаемые браузеры: Любой
  • Ограничения: небезопасно. Пароли легко расшифровываются.
  • Необходимые права пользователя. Учетная запись пользователя должна иметь права локального входа .
  • Тип шифрования: кодировка Base 64 (не верное шифрование)

Дайджест . Сервер запрашивает у пользователя вход, а также отправляет nonce, используемый для шифрования пароля. Браузер использует NONCE для шифрования пароля и отправляет его на сервер. Затем сервер шифрует собственную копию пароля пользователя и сравнивает их. Если они совпадают и у пользователя есть разрешения, доступ предоставляется.

  • Поддерживаемые браузеры: Internet Обозреватель 5 и более поздних версий
  • Ограничения: не так безопасно, как интегрированный. Требуется, чтобы у сервера был доступ к серверу Active Directory, настроенном для дайджест-проверки подлинности.
  • Необходимые права пользователя. Требуется, чтобы в паролях было указано значение "Сохранить пароль как зашифрованный чистый текст"
  • Тип шифрования: на основе NONCE, отправленного сервером.

Интегрированная система Windows (разделенная на две подкатегории)

Kerberos — сервер запрашивает у пользователя вход. Если браузер поддерживает Kerberos, выполняется следующее:

  • IIS запрашивает проверку подлинности.
  • Если клиент не вошел в домен, в Интернете появится диалоговое окно Обозреватель запрос учетных данных, а затем связывается с KDC, чтобы запросить и получить билет на предоставление билета. Затем он отправляет билет на предоставление билета вместе со сведениями о сервере IIS в KDC.
  • Если клиент IE уже успешно вошел в домен и получил билет на предоставление билета, он отправляет этот билет вместе со сведениями о сервере IIS в KDC.
  • KDC выдает клиенту билет ресурса.
  • Клиент передает этот билет на сервер IIS.

Kerberos использует билеты, созданные на сервере предоставления билетов (KDC), для проверки подлинности. Он отправляет этот билет на сервер IIS. Браузер НЕ отправляет пароль пользователя на сервер.

  • Поддерживаемые браузеры: Internet Обозреватель версии 5.0 и более поздних
  • Ограничения: сервер должен иметь доступ к серверу Active Directory. И сервер, и клиент должны иметь доверенное подключение к KDC.
  • Необходимые права пользователя. Учетная запись анонимного пользователя, определенная на сервере, должна иметь разрешения на локальный вход .
  • Тип шифрования: зашифрованный билет.

Windows NT запрос или ответ. Сервер запрашивает у пользователя вход в систему. Если браузер поддерживает Windows NT запрос или ответ, он автоматически отправляет учетные данные пользователя, если пользователь вошел в систему. Если домен, в который находится пользователь, отличается от домена сервера или если пользователь не вошел в систему, в Интернете появится диалоговое окно Обозреватель запроса учетных данных для отправки. Windows NT запрос/ответ использует алгоритм для создания хэша на основе учетных данных пользователя и компьютера, используемого пользователем. Затем он отправляет этот хэш на сервер. Браузер не отправляет пароль пользователя на сервер.

  • Поддерживаемые браузеры: Internet Обозреватель версии 3.01 и более поздних.
  • Ограничения. Требуется подключение типа "точка — точка". Как правило, канал закрывается после сообщения об ошибке "401 unauthorized". однако при согласовании последовательности проверки подлинности Windows NT "Вызов/ответ" (для которой требуется несколько кругового пути) сервер сохраняет канал открытым на протяжении всего периода после того, как клиент указывает, что он будет использовать Windows NT запрос/ответ. Прокси-серверы CERN и некоторые другие интернет-устройства не позволяют работать. Кроме того, Windows NT запрос и ответ не поддерживает олицетворения двойного прыжка (это означает, что после отправки на сервер IIS одни и те же учетные данные не могут быть переданы на внутренний сервер для проверки подлинности. Например, когда СЛУЖБЫ IIS используют Windows NT запрос/ответ, он не может затем пройти проверку подлинности пользователя в базе данных SQL Server на другом компьютере с помощью встроенной безопасности SQL).
  • Необходимые права пользователя. Учетная запись пользователя, обращаюющаяся к серверу, должна иметь разрешения "Доступ к этому компьютеру из сети".
  • Тип шифрования: алгоритм хэша NTLM, который также не закодирован.

Порядок приоритета: Когда браузер выполняет запрос, он всегда считает первый запрос анонимным. Поэтому учетные данные не отправляются. Если сервер не принимает анонимный или учетная запись анонимного пользователя, установленная на сервере, не имеет разрешений на запрашиваемый файл, сервер IIS ответит сообщением об ошибке "Доступ запрещен " и отправляет список типов проверки подлинности, поддерживаемых в одном из следующих сценариев:

  • Если интегрированный метод Windows является единственным поддерживаемым методом (или сбоем anonymous), браузер должен поддерживать этот метод для взаимодействия с сервером. В случае сбоя сервер не будет использовать другие методы.
  • Если базовый метод является единственным поддерживаемым методом (или если сбой anonymous), в появится диалоговое окно для получения учетных данных, а затем передает их на сервер. Он пытается отправить учетные данные до трех раз. Если все эти действия завершаются ошибкой, браузер не подключается к серверу.
  • Если поддерживаются как базовый, так и интегрированный с Windows, браузер определяет, какой метод используется. Если браузер поддерживает Kerberos или Windows NT challenge/Response, он использует этот метод. Он не возвращается к базовому. Если Windows NT запрос/ответ и Kerberos не поддерживаются, браузер использует Basic, Digest или Fortezza, если он поддерживает их. Порядок приоритета здесь — Basic, Digest, а затем Fortezza.

Примечание.

  • Когда браузер устанавливает подключение к веб-сайту с помощью обычной проверки подлинности или встроенной проверки подлинности Windows, он не возвращается к anonymous в течение оставшейся части сеанса с сервером. Если вы попытаетесь подключиться к веб-странице, помеченной как Анонимная только после проверки подлинности, вам будет отказано. (Это может быть или не так для Netscape).
  • Если интернет-Обозреватель установил подключение к серверу с помощью метода проверки подлинности, отличного от анонимного, он автоматически передает учетные данные для каждого нового запроса в течение сеанса.

Ссылки

Дополнительные сведения о настройке проверки подлинности веб-сайта IIS в Windows Server 2003 см . в статье Настройка проверки подлинности веб-сайта IIS в Windows Server 2003.