您目前已離線,請等候您的網際網路重新連線

使用基本驗證來產生 Kerberos 語彙基元 (Token)

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:287537
依現狀不再更新的知識庫內容免責聲明
本文旨在說明 Microsoft 不再提供支援的產品。因此,本文係依「現狀」提供,不會再更新。
結論
使用基本驗證連接到裝載在網際網路資訊服務 (IIS) 的網站時您可以利用委派功能的 Kerberos 驗證如 Microsoft SQL Server 所呼叫從動態伺服器網頁 (ASP) 在 IIS 上執行的多個後端伺服器上。若要產生 Kerberos 語彙基元,IIS 必須是 Windows 2000 網域的成員,而且可以存取該網域的作用中的目錄。

附註當網域驗證 UPN 認證對受信任的麻州協會的技術 (MIT) Kerberos 領域,以及當您使用基本驗證時,Windows 2000 網域並不會產生 Kerberos 語彙基元。這種行為是經過設計規劃的。

因為基本驗證會以純文字傳輸使用者資訊 (使用者名稱和密碼),只應使用基本驗證透過安全通訊端層 (SSL) 連線。
其他相關資訊
當 IIS 驗證使用者時這麼藉由呼叫 LsaLogonUser 函式接著會呼叫驗證封裝 (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 基本驗證)。基本驗證時下列事件會寫入安全性記錄檔 IIS 5.0 伺服器假設啟用 [稽核登入事件] 原則:
Event Type:	Success AuditEvent Source:	SecurityEvent Category:	Logon/Logoff Event ID:	528Date:		1/5/2001Time:		6:11:04 PMUser:		Win2kDomain\rvittalComputer:	IIS5serverDescription:Successful Logon: 	User Name:       	rvittal 	Domain:		Win2kDomain 	Logon ID:		(0x0,0x148D0AC) 	Logon Type:	             2 	Logon Process:	IIS      	Authentication Package:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 	Workstation Name:	IIS5server<BR/>				
IIS 使用者已登入 IIS 使用基本驗證之後具有該使用者的認證 (username:password),而且可以使用這些認證產生可以用來模擬其他電腦上的使用者的權杖。當使用者要求參考另一個 Windows 2000 伺服器上的資源的網頁時, IIS 伺服器會產生 Kerberos 安全性語彙基元,且遠端伺服器上的安全性記錄檔中寫入類似下列的事件:
Event Type:	Success AuditEvent Source:	SecurityEvent Category:	Logon/Logoff Event ID:	540Date:		1/5/2001Time:		1:16:06 PMUser:		Win2kDomain\rvittalComputer:	SQLboxDescription:Successful Network Logon: 	User Name:	             rvittal 	Domain:		Win2kDomain 	Logon ID:		(0x0,0x13A667F) 	Logon Type:	             3 	Logon Process:	             Kerberos 	Authentication Package: Kerberos 	Workstation Name:					
請注意使用 Kerberos 是不限於基本驗證。預設情況下,如果 Windows 2000 用戶端附加到 IIS5 的伺服器以整合式驗證設定,會使用 Kerberos 驗證。
参考
本文根據下列書籍 109 頁上所提供的資訊:

Howard、 Michael、 羅 Waymire 及馬詳盡。設計安全應用以 Web 為基礎程式為 Microsoft Windows 2000(台北市: Microsoft 按 2000 年七月),p.109。

如更多有關在 IIS 中的驗證方法的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
264921IIS 驗證瀏覽器用戶端的方式
229694如何安裝並使用 IIS 安全性 」 那如果 」 工具
如需有關 Kerberos 的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
217098在 Windows 2000 中的 Kerberos 使用者驗證通訊協定的基本概觀
266080常見問題集 Kerberos 問題的答案
231789在 Windows 2000 的本機登入程序
5 iis

內容

文章識別碼:287537 - 最後檢閱時間:11/21/2006 05:29:01 - 修訂: 3.1

Microsoft Internet Information Services 5.0

  • kbmt kbinfo KB287537 KbMtzh
意見反應
/c.microsoft.com/ms.js'><\/script>");