Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Làm thế nào IIS authenticates trình duyệt khách hàng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 264921
Chúng tôi đề nghị tất cả người dùng nâng cấp để Internet Information Services (IIS) phiên bản 7.0 chạy trên Windows Server 2008. IIS 7.0 đáng kể tăng web cơ sở hạ tầng bảo mật. Để biết thêm chi tiết về các chủ đề liên quan đến an ninh IIS, đi đến web site của Microsoft sau đây:Để biết thêm chi tiết về IIS 7.0, hãy vào web site của Microsoft sau đây:
Tóm tắt
Bài viết này mô tả các phương pháp xác thực khác nhau mà có sẵn trong IIS cho cả Windows NT 4.0 và Windows 2000. Cho một mô tả đầy đủ hơn về thông tin được thảo luận trong bài viết này, xem các Windows NT 4.0 và Windows 2000 tài nguyên hướng dẫn.
Thông tin thêm

Phương pháp xác thực mà có sẵn cho Windows NT 4.0

Chưa xác định người - kí nhập không được yêu cầu và bất cứ ai được cho phép để truy cập dữ liệu được bảo vệ với phương pháp này. Máy chủ sử dụng tích hợp sẵn trong tài khoản (IUSR_ [tên máy] theo mặc định) để kiểm soát quyền truy cập vào các tập tin. Trình duyệt không gửi bất kỳ thông tin kí nhập hoặc thông tin người dùng với các loại yêu cầu.
  • Trình duyệt được hỗ trợ: bất kỳ
  • Hạn chế: không có
  • Quyền người dùng yêu cầu: Tài khoản người dùng dấu kiểm tên xác định trên máy chủ phải có "Đăng nhập vào Cục" quyền.
  • Kiểu mã hóa: không có
Basic (văn bản rõ ràng) - các máy chủ yêu cầu người sử dụng để kí nhập vào và một hộp thoại sẽ xuất hiện trong trình duyệt cho phép người dùng để nhập ủy nhiệm là cần thiết. Các thông tin kí nhập phải phù hợp với các chứng chỉ người dùng được xác định trên các tập tin người sử dụng đang cố gắng truy cập.
  • Trình duyệt được hỗ trợ: bất kỳ
  • Hạn chế: Không rất an toàn. Mật khẩu được giải mã một cách dễ dàng.
  • Quyền người dùng yêu cầu: Trương mục người dùng phải có "Đăng nhập vào Cục" quyền.
  • Kiểu mã hóa: Căn cứ 64 mã hóa (không đúng mật mã hoá)
Windows NT thách thức/phản ứng - máy chủ yêu cầu người sử dụng để kí nhập vào. Nếu trình duyệt hỗ trợ Windows NT thách thức/phản ứng, nó sẽ tự động gửi thông tin kí nhập của người dùng nếu người dùng được kí nhập vào. Nếu tên miền người dùng là ngày là khác nhau hơn so với các máy chủ tên miền, hoặc nếu người dùng không kí nhập vào, một hộp thoại sẽ xuất hiện yêu cầu thông tin kí nhập để gửi. Windows NT thách thức/phản ứng sử dụng một thuật toán để tạo ra một băm dựa trên thông tin kí nhập của người dùng và máy tính mà người dùng đang sử dụng. Nó sau đó sẽ gửi băm này đến máy chủ. Trình duyệt không gửi mật khẩu của người dùng trên hệ phục vụ.
  • Trình duyệt hỗ trợ: Internet Explorer phiên bản 3,01 và sau đó
  • Hạn chế: Yêu cầu kết nối điểm tới điểm. Thông thường, một mạch đóng cửa sau khi một "401 trái phép" lỗi tin nhắn; Tuy nhiên, khi đàm phán một xác thực Windows NT thách thức/phản ứng chuỗi (mà yêu cầu nhiều vòng chuyến đi), các máy chủ giữ các mạch mở trong thời gian trình tự sau khi khách hàng đã chỉ ra rằng nó sẽ sử dụng Windows NT thách thức/phản ứng. CERN proxy và một số các thiết bị Internet ngăn chặn điều này từ làm việc. Ngoài ra, Windows NT thách thức/phản ứng không hỗ trợ đôi-hop impersonations (trong đó sau khi chuyển đến máy chủ IIS, cùng một thông tin kí nhập không thể được chuyển đến một máy chủ back-end cho xác thực).
  • Quyền người dùng yêu cầu: Tài khoản người dùng đang truy nhập hệ phục vụ phải có quyền "Truy nhập máy tính này từ mạng".
  • Kiểu mã hóa: NTLM Hash thuật toán cũng là uuencoded.
Đơn đặt hàng ưu tiên: Khi trình duyệt làm cho một yêu cầu, nó luôn luôn xem xét yêu cầu đầu tiên là chưa xác định người. Do đó, nó không gửi bất kỳ thông tin kí nhập. Nếu hệ phục vụ không chấp nhận chưa xác định người hoặc nếu tài khoản người dùng dấu kiểm tên đặt trên hệ phục vụ không có quyền để các tập tin được yêu cầu, máy chủ IIS đáp ứng với một thông báo lỗi "Truy cập từ chối" và sẽ gửi một danh sách các loại xác thực được hỗ trợ bằng cách sử dụng một trong các trường hợp sau:
  • Nếu Windows NT thách thức/phản ứng là duy nhất hỗ trợ phương pháp (hoặc nếu chưa xác định người không thành công), sau đó trình duyệt phải hỗ trợ phương pháp này để giao tiếp với máy chủ. Nếu không, nó không thể thương lượng với các máy chủ và người dùng nhận được một thông báo lỗi "Truy cập từ chối".
  • Nếu Basic là duy nhất hỗ trợ phương pháp (hoặc nếu chưa xác định người không thành công), sau đó một hộp thoại sẽ xuất hiện trong trình duyệt để có được các chứng chỉ, và sau đó vượt qua các thông tin kí nhập vào hệ phục vụ. Nó cố gắng để gửi các thông tin kí nhập lên đến ba lần. Nếu tất cả những thất bại, các trình duyệt không được kết nối với hệ phục vụ.
  • Nếu cả hai cơ bản và Windows NT thách thức/phản ứng được hỗ trợ, trình duyệt sẽ xác định phương pháp được sử dụng. Nếu trình duyệt hỗ trợ Windows NT thách thức/phản ứng, nó sử dụng phương pháp này và không rơi trở lại vào cơ bản. Nếu Windows NT thách thức/phản ứng không được hỗ trợ, trình duyệt sử dụng cơ bản.
Ghi chú
  • Khi trình duyệt của bạn thiết lập một kết nối với một web site bằng cách sử dụng cơ bản hoặc NTLM xác thực, nó không rơi trở lại để chưa xác định người trong phần còn lại của phiên đó với hệ phục vụ. Nếu bạn cố gắng kết nối với một web site được đánh dấu kiểm cho chưa xác định người chỉ sau khi cá, bạn sẽ bị từ chối. (Điều này có thể hoặc có thể không giữ đúng cho Netscape).
  • Khi Internet Explorer đã thiết lập một kết nối với máy chủ bằng cách sử dụng cơ bản hoặc NTLM xác thực, nó đã vượt qua các thông tin kí nhập cho mỗi yêu cầu mới cho thời gian của phiên.

Phương pháp xác thực mà có sẵn cho Windows 2000 và ở trên

Chưa xác định người - kí nhập không được yêu cầu và bất cứ ai được cho phép để truy cập dữ liệu được bảo vệ với phương pháp này. Máy chủ sử dụng tích hợp sẵn trong tài khoản (IUSR_ [tên máy] theo mặc định) để kiểm soát quyền truy cập vào các tập tin. Trình duyệt không gửi bất kỳ thông tin kí nhập hoặc thông tin người dùng với các loại yêu cầu.
  • Trình duyệt được hỗ trợ: bất kỳ
  • Hạn chế: không có
  • Quyền người dùng yêu cầu: Tài khoản người dùng dấu kiểm tên xác định trên máy chủ phải có "Đăng nhập vào Cục" quyền.
  • Kiểu mã hóa: không có
Basic (văn bản rõ ràng) - các máy chủ yêu cầu người sử dụng để kí nhập vào và một hộp thoại sẽ xuất hiện trong trình duyệt cho phép người dùng để nhập ủy nhiệm là cần thiết. Các thông tin kí nhập phải phù hợp với các chứng chỉ người dùng được xác định trên các tập tin người sử dụng đang cố gắng truy cập.
  • Trình duyệt được hỗ trợ: bất kỳ
  • Hạn chế: Không rất an toàn. Mật khẩu được giải mã một cách dễ dàng.
  • Quyền người dùng yêu cầu: Trương mục người dùng phải có "Đăng nhập vào Cục" quyền
  • Kiểu mã hóa: Căn cứ 64 mã hóa (không đúng mật mã hoá)
Tiêu hóa - máy chủ yêu cầu người sử dụng để kí nhập vào và cũng sẽ gửi một NONCE được sử dụng để mã hóa mật khẩu. Trình duyệt sử dụng NONCE để mã hóa mật khẩu và gửi điều này để các máy chủ. Hệ phục vụ sau đó mã hóa riêng của mình sao chép của mật khẩu của người dùng và so sánh hai. Nếu họ phù hợp và người dùng có quyền truy cập, truy cập được cấp.
  • Trình duyệt hỗ trợ: Internet Explorer 5 và phiên bản mới hơn
  • Hạn chế: Không phải là an toàn như tích hợp. Yêu cầu máy chủ để có quyền truy cập vào một máy chủ mục tin thư thoại hoạt động được thiết lập cho tiêu hóa xác thực.
  • Quyền người dùng yêu cầu: Yêu cầu mật khẩu để có "lưu mật khẩu dưới dạng văn bản rõ ràng được mã hóa"
  • Kiểu mã hóa: Dựa trên NONCE gửi bởi máy chủ.

Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
222028 Thiết lập tiêu hóa xác thực để sử dụng với Internet thông tin bản ghi dịch vụ 5.0
Fortezza - để sử dụng an ninh Fortezza với IIS 5.0, bạn cần phải có một tập tin mã hóa API bản ghi dịch vụ nhà cung cấp (CSP) thích hợp từ một nhà cung cấp Fortezza chẳng hạn như http://www.spyrus.com.

Windows tích hợp (chia thành hai phân loại)
Kerberos - máy chủ yêu cầu người dùng để kí nhập vào. Nếu trình duyệt hỗ trợ Kerberos, sau đây xảy ra:
  • IIS yêu cầu xác thực.
  • Nếu khách hàng đã không kí nhập vào một tên miền, một hộp thoại sẽ xuất hiện trong Internet Explorer yêu cầu thông tin kí nhập, và sau đó liên lạc KDC yêu cầu và nhận được một vé cấp vé. Nó sau đó sẽ gửi vé cấp vé cùng với các thông tin về máy chủ IIS để KDC.
  • Nếu khách hàng IE đã thành công đã kí nhập vào tên miền và nhận được một vé cấp vé, nó sẽ gửi vé này cùng với các thông tin về máy chủ IIS để KDC
  • KDC vấn đề cho khách hàng một vé tài nguyên.
  • Khách hàng đi vé này vào hệ phục vụ IIS.
Kerberos sử dụng vé được tạo ra tại một vé cấp máy chủ (KDC) để xác thực. Nó sẽ gửi vé này vào hệ phục vụ IIS. Trình duyệt không gửi mật khẩu của người dùng trên hệ phục vụ.
  • Trình duyệt hỗ trợ: Internet Explorer phiên bản 5.0 trở lên
  • Hạn chế: hệ phục vụ phải có quyền truy cập vào một máy chủ Thư mục Họat động. Các máy chủ và khách hàng phải có một kết nối đáng tin cậy để một KDC.
  • Quyền người dùng yêu cầu: Tài khoản người dùng dấu kiểm tên xác định trên máy chủ phải có "Đăng nhập vào Cục" quyền.
  • Kiểu mã hóa: mã hóa lo vé.
Windows NT thách thức/phản ứng - máy chủ yêu cầu người sử dụng để kí nhập vào. Nếu trình duyệt hỗ trợ Windows NT thách thức/phản ứng, nó sẽ tự động gửi thông tin kí nhập của người dùng nếu người dùng được kí nhập vào. Nếu tên miền người dùng là ngày là khác nhau hơn so với các máy chủ tên miền, hoặc nếu người dùng không kí nhập vào, một hộp thoại sẽ xuất hiện trong Internet Explorer yêu cầu các thông tin kí nhập để gửi. Windows NT thách thức/phản ứng sử dụng một thuật toán để tạo ra một băm dựa trên thông tin kí nhập của người dùng và máy tính mà người dùng đang sử dụng. Nó sau đó sẽ gửi băm này đến máy chủ. Trình duyệt không gửi mật khẩu của người dùng trên hệ phục vụ.
  • Trình duyệt hỗ trợ: Internet Explorer phiên bản 3,01 và sau đó.
  • Hạn chế: Yêu cầu kết nối điểm tới điểm. Thông thường, một mạch đóng cửa sau khi một "401 trái phép" lỗi tin nhắn; Tuy nhiên, khi đàm phán một xác thực Windows NT thách thức/phản ứng chuỗi (mà yêu cầu nhiều vòng chuyến đi), các máy chủ giữ các mạch mở trong thời gian trình tự sau khi khách hàng đã chỉ ra rằng nó sẽ sử dụng Windows NT thách thức/phản ứng. CERN proxy và một số các thiết bị Internet ngăn chặn điều này từ làm việc. Ngoài ra, Windows NT thách thức/phản ứng không hỗ trợ đôi-hop impersonations (xác có nghĩa là rằng sau khi chuyển đến máy chủ IIS, cùng một thông tin kí nhập không thể được chuyển đến một back-end máy chủ xác thực, ví dụ, khi sử dụng IIS Windows NT thách thức/phản ứng, nó không thể sau đó thực người dùng chống lại một bộ máy cơ sở dữ liệu SQL Server trên máy tính khác bằng cách sử dụng an ninh tích hợp SQL).
  • Quyền người dùng yêu cầu: Tài khoản người dùng truy cập vào hệ phục vụ phải có quyền "Truy nhập máy tính này từ mạng".
  • Kiểu mã hóa: NTLM Hash thuật toán cũng là uuencoded.
Đơn đặt hàng ưu tiên:Khi trình duyệt làm cho một yêu cầu, nó luôn luôn xem xét yêu cầu đầu tiên là chưa xác định người. Do đó, nó không gửi bất kỳ thông tin kí nhập. Nếu hệ phục vụ không chấp nhận chưa xác định người hoặc nếu tài khoản người dùng dấu kiểm tên đặt trên máy chủ không có quyền để các tập tin được yêu cầu, máy chủ IIS đáp ứng với một thông báo lỗi "Truy cập từ chối" và sẽ gửi một danh sách các loại xác thực được hỗ trợ bằng cách sử dụng một trong các trường hợp sau:
  • Nếu Windows tích hợp là duy nhất hỗ trợ phương pháp (hoặc nếu chưa xác định người không thành công), sau đó trình duyệt phải hỗ trợ phương pháp này để giao tiếp với máy chủ. Nếu điều này không thành công, các máy chủ không thử bất kỳ của những phương pháp khác.
  • Nếu Basic là chỉ hỗ trợ phương pháp (hoặc nếu chưa xác định người không thành công), sau đó một hộp thoại sẽ xuất hiện trong các để có được các chứng chỉ, và sau đó vượt qua các máy chủ. Nó cố gắng để gửi các thông tin kí nhập lên đến ba lần. Nếu tất cả những thất bại, các trình duyệt không kết nối đến máy chủ.
  • Nếu cả hai cơ bản và tích hợp Windows được hỗ trợ, trình duyệt sẽ xác định phương pháp được sử dụng. Nếu trình duyệt hỗ trợ Kerberos hoặc Windows NT thách thức/phản ứng, nó sẽ sử dụng phương pháp này. Nó không phải rơi trở lại để Basic. Nếu Windows NT thách thức/phản ứng và Kerberos không được hỗ trợ, trình duyệt sử dụng cơ bản, tiêu hóa, hoặc Fortezza nếu nó hỗ trợ này. Thứ tự ưu tiên ở đây là cơ bản, tiêu hóa, và sau đó Fortezza.
Ghi chú:
  • Khi trình duyệt của bạn thiết lập một kết nối với một web site bằng cách sử dụng cơ bản hoặc Xác thực tích hợp Windows, nó không rơi trở lại để chưa xác định người trong phần còn lại của phiên đó với hệ phục vụ. Nếu bạn cố gắng kết nối với một web site được đánh dấu kiểm cho chưa xác định người chỉ sau khi cá, bạn đang bị từ chối. (Điều này có thể hoặc có thể không giữ đúng cho Netscape).
  • Khi Internet Explorer đã thiết lập một kết nối với máy chủ bằng cách sử dụng một phương pháp xác thực khác hơn so với chưa xác định người, nó tự động đi thông tin kí nhập cho mỗi yêu cầu mới trong thời gian của phiên.
Tham khảo
Để biết thêm chi tiết về làm thế nào để cấu hình IIS Web web site xác thực trong Windows Server 2003, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
324274 Làm thế nào để cấu hình IIS Web web site xác thực trong Windows Server 2003
Để biết thêm chi tiết về các vấn đề có thể xảy ra nếu một nhóm ứng dụng web site được lưu trữ trên IIS 6.0 tái chế trong quá trình xác thực, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
902160 Bạn nhận được "Lỗi HTTP 401" lỗi tin thư thoại, và bạn không liên tục không thể kết nối đến một web site được lưu trữ trên IIS 6.0

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 264921 - Xem lại Lần cuối: 11/19/2013 15:27:00 - Bản sửa đổi: 3.0

  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
  • kbinfo kbmt KB264921 KbMtvi
Phản hồi