IIS tarayıcı istemcilerinin kimliğini doğrular

  • Makale

Bu makalede IIS'nin tarayıcı istemcilerinin kimliğini nasıl doğrular?

Orijinal ürün sürümü: Internet Explorer
Özgün KB numarası: 264921

Özet

Bu makalede IIS'de Windows NT 4.0, Windows 2000 ve üzeri Windows sürümleri için kullanılabilen farklı kimlik doğrulama yöntemleri açıklanmaktadır. Bu makalede ele alınan bilgilerin daha eksiksiz bir açıklaması için Windows NT 4.0 ve Windows 2000 Kaynak Kılavuzları'na bakın.

Windows NT 4.0 için kullanılabilen kimlik doğrulama yöntemleri

Anonim - Oturum açma gerekmez ve bu yöntemle korunan verilere erişim izni olan herkes kullanılabilir. Sunucu, dosyalar üzerindeki izinleri denetlemek için yerleşik bir hesap (varsayılan olarak IUSR_[makine adı] ) kullanır. Tarayıcı bu tür bir istekle hiçbir kimlik bilgisi veya kullanıcı bilgisi göndermez.

  • Desteklenen Tarayıcılar: Tümü
  • Sınırlamalar: Yok
  • Kullanıcı Hakları Gerekli: Sunucuda tanımlanan anonim kullanıcı hesabının Yerel olarak oturum açma izinleri olmalıdır.
  • Şifreleme Türü: Yok

Temel (Metni Temizle) - Sunucu kullanıcıdan oturum açmasını ister ve tarayıcıda kullanıcının gerekli kimlik bilgilerini girmesini sağlayan bir iletişim kutusu görüntülenir. Bu kimlik bilgileri, kullanıcının erişmeye çalıştığı dosyalarda tanımlanan kullanıcı kimlik bilgileriyle eşleşmelidir.

  • Desteklenen Tarayıcılar: Tümü
  • Sınırlamalar: Güvenli değil. Parolalar kolayca deşifre edilir.
  • Kullanıcı Hakları Gerekli: Kullanıcı hesabının Yerel olarak oturum açma izinleri olmalıdır.
  • Şifreleme Türü: Temel 64 Kodlama (doğru şifreleme değil)

Windows NT Sınama/Yanıt - Sunucu, kullanıcıdan oturum açmasını istemektedir. Tarayıcı Windows NT Sınama/Yanıt'ı destekliyorsa, kullanıcı oturum açtığında kullanıcının kimlik bilgilerini otomatik olarak gönderir. Kullanıcının üzerinde olduğu etki alanı sunucunun etki alanından farklıysa veya kullanıcı oturum açmamışsa, kimlik bilgilerinin gönderilmesini isteyen bir iletişim kutusu görüntülenir. Windows NT Sınama/Yanıt, kullanıcının kimlik bilgilerini ve kullanıcının kullandığı bilgisayarı temel alan bir karma oluşturmak için bir algoritma kullanır. Ardından bu karmayı sunucuya gönderir. Tarayıcı, kullanıcının parolasını sunucuya göndermez.

  • Desteklenen Tarayıcılar: Internet Explorer sürüm 3.01 ve üzeri

  • Sınırlamalar: Noktadan noktaya bağlantı gerektirir. Genellikle bir bağlantı hattı "401 yetkisiz" hata iletisinden sonra kapatılır; ancak, bir Windows NT Sınama/Yanıt kimlik doğrulama dizisi (birden çok gidiş dönüş gerektirir) anlaşması yaparken, istemci Windows NT Sınama/Yanıt kullanacağını belirttikten sonra sunucu devreyi sıra süresi boyunca açık tutar. CERN proxy'leri ve diğer bazı İnternet cihazları bunun çalışmasını engeller. Ayrıca, Windows NT Sınama/Yanıt çift atlamalı kimliğe bürünmeyi desteklemez (IIS sunucusuna geçirildikten sonra aynı kimlik bilgileri kimlik doğrulaması için arka uç sunucusuna geçirilemez).

  • Kullanıcı Hakları Gerekli: Sunucuya erişen kullanıcı hesabının "Bu bilgisayara ağdan eriş" izinleri olmalıdır.

  • Şifreleme Türü: Kodlanmamış NTLM Karma algoritması.

Öncelik siparişleri: Tarayıcı bir istekte bulunursa, her zaman ilk isteğin Anonim olduğunu düşünür. Bu nedenle, hiçbir kimlik bilgisi göndermez. Sunucu Anonim'i kabul etmiyorsa VEYA sunucuda ayarlanan Anonim kullanıcı hesabının istenen dosya üzerinde izinleri yoksa, IIS sunucusu erişim reddedildi hata iletisiyle yanıt verir ve aşağıdaki senaryolardan birini kullanarak desteklenen kimlik doğrulama türlerinin listesini gönderir:

  • Windows NT Sınama/Yanıt desteklenen tek yöntemse (veya Anonim başarısız olursa), tarayıcının sunucuyla iletişim kurmak için bu yöntemi desteklemesi gerekir. Aksi takdirde sunucuyla anlaşma yapamaz ve kullanıcı Erişim Reddedildi hata iletisini alır.
  • Temel desteklenen tek yöntemse (veya Anonim başarısız olursa), kimlik bilgilerini almak için tarayıcıda bir iletişim kutusu görüntülenir ve ardından bu kimlik bilgilerini sunucuya geçirir. Bu kimlik bilgilerini en fazla üç kez göndermeye çalışır. Bunların tümü başarısız olursa, tarayıcı sunucuya bağlı değildir.
  • Hem Temel hem de Windows NT Sınama/Yanıt destekleniyorsa, tarayıcı hangi yöntemin kullanıldığını belirler. Tarayıcı Windows NT Sınama/Yanıt'ı destekliyorsa bu yöntemi kullanır ve Temel'e geri dönmez. Windows NT Sınama/Yanıt desteklenmiyorsa, tarayıcı Temel'i kullanır.

Not

  • Tarayıcınız kullanarak Basic veya NTLM kimlik doğrulaması kullanarak bir Web sitesiyle bağlantı kurduğunda, sunucuyla oturumun geri kalanında Anonim'e geri dönmez. Yalnızca kimlik doğrulaması yaptıktan sonra Anonim olarak işaretlenmiş bir Web sayfasına bağlanmaya çalışırsanız, reddedilirsiniz. (Bu, Netscape için doğru olabilir veya olmayabilir).
  • Internet Explorer kullanarak veya NTLM kimlik doğrulaması kullanarak Basic sunucuyla bağlantı kurduğunda, oturum süresince her yeni isteğin kimlik bilgilerini geçirir.

Windows 2000 ve üzeri için kullanılabilen kimlik doğrulama yöntemleri

Anonim - Oturum açma gerekmez ve bu yöntemle korunan verilere erişim izni olan herkes kullanılabilir. Sunucu, dosyalar üzerindeki izinleri denetlemek için yerleşik bir hesap (varsayılan olarak IUSR_[makine adı] ) kullanır. Tarayıcı bu tür bir istekle hiçbir kimlik bilgisi veya kullanıcı bilgisi göndermez.

  • Desteklenen Tarayıcılar: Tümü
  • Sınırlamalar: Yok
  • Kullanıcı Hakları Gerekli: Sunucuda tanımlanan Anonim kullanıcı hesabının "Yerel olarak oturum açma" izinleri olmalıdır.
  • Şifreleme Türü: Yok

Temel (Metni Temizle) - Sunucu kullanıcıdan oturum açmasını ister ve tarayıcıda kullanıcının gerekli kimlik bilgilerini girmesini sağlayan bir iletişim kutusu görüntülenir. Bu kimlik bilgileri, kullanıcının erişmeye çalıştığı dosyalarda tanımlanan kullanıcı kimlik bilgileriyle eşleşmelidir.

  • Desteklenen Tarayıcılar: Tümü
  • Sınırlamalar: Güvenli değil. Parolalar kolayca deşifre edilir.
  • Kullanıcı Hakları Gerekli: Kullanıcı hesabının Yerel olarak oturum açma hakları olmalıdır
  • Şifreleme Türü: Temel 64 Kodlama (doğru şifreleme değil)

Özet - Sunucu, kullanıcıdan oturum açmasını ve ayrıca parolayı şifrelemek için kullanılan bir NONCE göndermesini istemektedir. Tarayıcı, parolayı şifrelemek için NONCE kullanır ve bunu sunucuya gönderir. Sunucu daha sonra kullanıcının parolasının kendi kopyasını şifreler ve ikisini karşılaştırır. Bunlar eşleşirse ve kullanıcının izinleri varsa erişim verilir.

  • Desteklenen Tarayıcılar: Internet Explorer 5 ve sonraki sürümleri
  • Sınırlamalar: Tümleşik kadar güvenli değildir. Sunucunun Özet Kimlik Doğrulaması için ayarlanmış bir Active Directory Sunucusuna erişimi olmasını gerektirir.
  • Kullanıcı Hakları Gerekli: Parolaların "Parolayı şifrelenmiş Metin Temizle olarak kaydet" olması gerekir
  • Şifreleme Türü: Sunucu tarafından gönderilen NONCE'ye göre.

Windows Tümleşik (iki alt kategoriye ayrılmış)

Kerberos - Sunucu bir kullanıcıdan oturum açmasını istemektedir. Tarayıcı Kerberos'ı destekliyorsa, aşağıdakiler gerçekleşir:

  • IIS kimlik doğrulama isteğinde bulunur.
  • İstemci bir etki alanında oturum açmadıysa, Internet Explorer'da kimlik bilgileri isteyen bir iletişim kutusu görüntülenir ve ardından bilet verme bileti istemek ve almak için KDC ile iletişim kurar. Ardından, IIS sunucusu hakkındaki bilgilerle birlikte Anahtar Verme Biletini KDC'ye gönderir.
  • IE İstemcisi etki alanında zaten başarıyla oturum açtıysa ve Bilet Verme Bileti aldıysa, IIS sunucusu hakkındaki bilgilerle birlikte bu bileti KDC'ye gönderir
  • KDC, istemciye bir Kaynak Bileti gönderir.
  • İstemci bu bileti IIS sunucusuna geçirir.

Kerberos, kimlik doğrulaması için Anahtar Verme Sunucusu'nda (KDC) oluşturulan biletleri kullanır. Bu bileti IIS sunucusuna gönderir. Tarayıcı, kullanıcının parolasını sunucuya göndermez.

  • Desteklenen Tarayıcılar: Internet Explorer sürüm 5.0 ve üzeri
  • Sınırlamalar: Sunucunun bir Active Directory sunucusuna erişimi olmalıdır. Hem sunucu hem de istemcinin KDC ile güvenilir bir bağlantısı olmalıdır.
  • Kullanıcı Hakları Gerekli: Sunucuda tanımlanan Anonim kullanıcı hesabının Yerel olarak oturum açma izinlerine sahip olması gerekir.
  • Şifreleme türü: Şifrelenmiş anahtar.

Windows NT Sınama/Yanıt - Sunucu, kullanıcıdan oturum açmasını istemektedir. Tarayıcı Windows NT Sınama/Yanıt'ı destekliyorsa, kullanıcı oturum açtığında kullanıcının kimlik bilgilerini otomatik olarak gönderir. Kullanıcının üzerinde olduğu etki alanı sunucunun etki alanından farklıysa veya kullanıcı oturum açmamışsa, Internet Explorer'da kimlik bilgilerinin gönderilmesini isteyen bir iletişim kutusu görüntülenir. Windows NT Sınama/Yanıt, kullanıcının kimlik bilgilerini ve kullanıcının kullandığı bilgisayarı temel alan bir karma oluşturmak için bir algoritma kullanır. Ardından bu karmayı sunucuya gönderir. Tarayıcı, kullanıcının parolasını sunucuya göndermez.

  • Desteklenen Tarayıcılar: Internet Explorer sürüm 3.01 ve üzeri.
  • Sınırlamalar: Noktadan noktaya bağlantı gerektirir. Genellikle bir bağlantı hattı "401 yetkisiz" hata iletisinden sonra kapatılır; ancak, bir Windows NT Sınama/Yanıt kimlik doğrulama dizisi (birden çok gidiş dönüş gerektirir) anlaşması yaparken, istemci Windows NT Sınama/Yanıt kullanacağını belirttikten sonra sunucu devreyi sıra süresi boyunca açık tutar. CERN proxy'leri ve diğer bazı İnternet cihazları bunun çalışmasını engeller. Ayrıca, Windows NT Sınama/Yanıt çift atlamalı kimliğe bürünmeyi desteklemez (yani IIS sunucusuna geçirildikten sonra aynı kimlik bilgileri kimlik doğrulaması için bir arka uç sunucusuna geçirilemez; örneğin, IIS Windows NT Sınama/Yanıt kullandığında, sql Tümleşik güvenliğini kullanarak başka bir bilgisayardaki SQL Server veritabanında kullanıcının kimliğini doğrulayamaz).
  • Kullanıcı Hakları Gerekli: Sunucuya erişen kullanıcı hesabının "Bu bilgisayara ağdan eriş" izinleri olmalıdır.
  • Şifreleme Türü: Kodlanmamış NTLM Karma algoritması.

Öncelik siparişleri: Tarayıcı bir istekte bulunursa, her zaman ilk isteğin Anonim olduğunu düşünür. Bu nedenle, hiçbir kimlik bilgisi göndermez. Sunucu Anonim'i kabul etmiyorsa veya sunucuda ayarlanan Anonim kullanıcı hesabının istenen dosya üzerinde izinleri yoksa, IIS sunucusu erişim reddedildi hata iletisiyle yanıt verir ve aşağıdaki senaryolardan birini kullanarak desteklenen kimlik doğrulama türlerinin listesini gönderir:

  • Desteklenen tek yöntem Windows Tümleşik ise (veya Anonim başarısız olursa), tarayıcının sunucuyla iletişim kurmak için bu yöntemi desteklemesi gerekir. Bu başarısız olursa, sunucu diğer yöntemlerden hiçbirini denemez.
  • Temel desteklenen tek yöntemse (veya Anonim başarısız olursa), kimlik bilgilerini almak için içinde bir iletişim kutusu görüntülenir ve bunları sunucuya geçirir. Kimlik bilgilerini en fazla üç kez göndermeye çalışır. Bunların tümü başarısız olursa, tarayıcı sunucuya bağlanmaz.
  • Hem Temel hem de Windows Tümleşik destekleniyorsa, hangi yöntemin kullanılacağını tarayıcı belirler. Tarayıcı Kerberos veya Windows NT Sınama/Yanıt'ı destekliyorsa, bu yöntemi kullanır. Temel'e geri dönmez. Windows NT Sınama/Yanıt ve Kerberos desteklenmiyorsa, tarayıcı bunları destekliyorsa Temel, Özet veya Fortezza kullanır. Buradaki öncelik sırası Temel, Özet ve ardından Fortezza'dır.

Not

  • Tarayıcınız Temel veya Windows Tümleşik kimlik doğrulamasını kullanarak bir Web sitesiyle bağlantı kurduğunda, sunucuyla oturumun geri kalanında Anonim'e geri dönmez. Yalnızca kimlik doğrulaması yaptıktan sonra Anonim olarak işaretlenmiş bir Web sayfasına bağlanmaya çalışırsanız, reddedilirsiniz. (Bu, Netscape için doğru olabilir veya olmayabilir).
  • Internet Explorer, Anonim dışında bir kimlik doğrulama yöntemi kullanarak sunucuyla bağlantı kurduğunda, oturum süresince her yeni isteğin kimlik bilgilerini otomatik olarak geçirir.

Başvurular

Windows Server 2003'te IIS Web sitesi kimlik doğrulamasını yapılandırma hakkında daha fazla bilgi için bkz. Windows Server 2003'te IIS Web sitesi kimlik doğrulamasını yapılandırma.