国产高清在线免费观看-国产高清在线免费无码-国产高清在线男人的天堂-国产高清在线视频-国产高清在线视频精品视频-国产高清在线视频伊甸园

本文介紹 IIS 如何對(duì)瀏覽器客戶(hù)端進(jìn)行身份驗(yàn)證。

原始產(chǎn)品版本： Ie
原始 KB 編號(hào)： 264921

本文介紹 IIS 中適用于 Windows NT 4.0、Windows 2000 及更高版本的不同身份驗(yàn)證方法。 有關(guān)本文中討論的信息的更完整說(shuō)明，請(qǐng)參閱 Windows NT 4.0 和 Windows 2000 資源指南。

匿名 - 無(wú)需登錄，任何人都可以訪(fǎng)問(wèn)使用此方法保護(hù)的數(shù)據(jù)。 默認(rèn)情況下，服務(wù)器使用內(nèi)置帳戶(hù) (IUSR_[計(jì)算機(jī)名稱(chēng)]) 來(lái)控制文件的權(quán)限。 瀏覽器不會(huì)發(fā)送任何具有此類(lèi)請(qǐng)求的憑據(jù)或用戶(hù)信息。

• 支持的瀏覽器：任意

• 限制：無(wú)

• 需要用戶(hù)權(quán)限：服務(wù)器上定義的匿名用戶(hù)帳戶(hù)必須具有 本地權(quán)限日志 。

• 加密類(lèi)型：無(wú)

基本 (清除文本) - 服務(wù)器請(qǐng)求用戶(hù)登錄，并在瀏覽器中顯示一個(gè)對(duì)話(huà)框，允許用戶(hù)輸入所需的憑據(jù)。 這些憑據(jù)必須與用戶(hù)嘗試訪(fǎng)問(wèn)的文件上定義的用戶(hù)憑據(jù)匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶(hù)權(quán)限：用戶(hù)帳戶(hù)必須具有 本地權(quán)限日志 。

• 加密類(lèi)型：基礎(chǔ) 64 編碼 (不是真正的加密)

Windows NT質(zhì)詢(xún)/響應(yīng) - 服務(wù)器請(qǐng)求用戶(hù)登錄。 如果瀏覽器支持Windows NT質(zhì)詢(xún)/響應(yīng)，則在用戶(hù)登錄時(shí)會(huì)自動(dòng)發(fā)送用戶(hù)的憑據(jù)。 如果用戶(hù)所在的域不同于服務(wù)器的域，或者如果用戶(hù)未登錄，則會(huì)出現(xiàn)一個(gè)對(duì)話(huà)框，請(qǐng)求發(fā)送憑據(jù)。 Windows NT質(zhì)詢(xún)/響應(yīng)使用算法根據(jù)用戶(hù)的憑據(jù)和用戶(hù)正在使用的計(jì)算機(jī)生成哈希。 然后，它會(huì)將此哈希發(fā)送到服務(wù)器。 瀏覽器不會(huì)將用戶(hù)的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本

• 限制：需要點(diǎn)到點(diǎn)連接。 通常，線(xiàn)路在出現(xiàn)“401 未經(jīng)授權(quán)”錯(cuò)誤消息后關(guān)閉：但是，在協(xié)商需要多次往返) Windows NT質(zhì)詢(xún)/響應(yīng)身份驗(yàn)證序列 (時(shí)，在客戶(hù)端表示將使用Windows NT質(zhì)詢(xún)/響應(yīng)后，服務(wù)器將保持線(xiàn)路在序列的持續(xù)時(shí)間內(nèi)保持打開(kāi)狀態(tài)。 CERN 代理和某些其他 Internet 設(shè)備阻止此操作。 此外，Windows NT質(zhì)詢(xún)/響應(yīng)不支持雙躍點(diǎn)模擬 (在傳遞到 IIS 服務(wù)器后，無(wú)法將相同的憑據(jù)傳遞到后端服務(wù)器進(jìn)行身份驗(yàn)證) 。

• 需要用戶(hù)權(quán)限：訪(fǎng)問(wèn)服務(wù)器的用戶(hù)帳戶(hù)必須具有“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”權(quán)限。

• 加密類(lèi)型：未編碼的 NTLM 哈希算法。

優(yōu)先順序： 當(dāng)瀏覽器發(fā)出請(qǐng)求時(shí)，它始終將第一個(gè)請(qǐng)求視為匿名。 因此，它不會(huì)發(fā)送任何憑據(jù)。 如果服務(wù)器不接受匿名或服務(wù)器上設(shè)置的匿名用戶(hù)帳戶(hù)對(duì)所請(qǐng)求的文件沒(méi)有權(quán)限，則 IIS 服務(wù)器將使用 “拒絕訪(fǎng)問(wèn) ”錯(cuò)誤消息進(jìn)行響應(yīng)，并使用以下方案之一發(fā)送支持的身份驗(yàn)證類(lèi)型的列表：

• 如果Windows NT質(zhì)詢(xún)/響應(yīng)是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務(wù)器通信。 否則，它無(wú)法與服務(wù)器協(xié)商，并且用戶(hù)收到 “拒絕訪(fǎng)問(wèn)” 錯(cuò)誤消息。

• 如果 Basic 是唯一受支持的方法 (或匿名失敗) ，則瀏覽器中會(huì)顯示一個(gè)對(duì)話(huà)框以獲取憑據(jù)，然后將這些憑據(jù)傳遞給服務(wù)器。 它嘗試發(fā)送這些憑據(jù)最多三次。 如果所有這些操作都失敗，則瀏覽器不會(huì)連接到服務(wù)器。

• 如果支持基本和Windows NT質(zhì)詢(xún)/響應(yīng)，瀏覽器將確定使用哪種方法。 如果瀏覽器支持Windows NT質(zhì)詢(xún)/響應(yīng)，則它使用此方法，并且不會(huì)回退到 Basic。 如果不支持Windows NT質(zhì)詢(xún)/響應(yīng)，瀏覽器將使用 Basic。

匿名 - 無(wú)需登錄，任何人都可以訪(fǎng)問(wèn)使用此方法保護(hù)的數(shù)據(jù)。 默認(rèn)情況下，服務(wù)器使用內(nèi)置帳戶(hù) (IUSR_[計(jì)算機(jī)名稱(chēng)]) 來(lái)控制文件的權(quán)限。 瀏覽器不會(huì)發(fā)送任何具有此類(lèi)請(qǐng)求的憑據(jù)或用戶(hù)信息。

• 支持的瀏覽器：任意

• 限制：無(wú)

• 需要用戶(hù)權(quán)限：服務(wù)器上定義的匿名用戶(hù)帳戶(hù)必須具有“本地登錄”權(quán)限。

• 加密類(lèi)型：無(wú)

基本 (清除文本) - 服務(wù)器請(qǐng)求用戶(hù)登錄，并在瀏覽器中顯示一個(gè)對(duì)話(huà)框，允許用戶(hù)輸入所需的憑據(jù)。 這些憑據(jù)必須與用戶(hù)嘗試訪(fǎng)問(wèn)的文件上定義的用戶(hù)憑據(jù)匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶(hù)權(quán)限：用戶(hù)帳戶(hù)必須具有本地權(quán)限日志

• 加密類(lèi)型：基礎(chǔ) 64 編碼 (不是真正的加密)

摘要 - 服務(wù)器請(qǐng)求用戶(hù)登錄，并發(fā)送用于加密密碼的 NONCE。 瀏覽器使用 NONCE 加密密碼并將密碼發(fā)送到服務(wù)器。 然后，服務(wù)器將加密其自己的用戶(hù)密碼副本并進(jìn)行比較。 如果用戶(hù)匹配且用戶(hù)具有權(quán)限，則授予訪(fǎng)問(wèn)權(quán)限。

• 支持的瀏覽器：Internet Explorer 5 及更高版本

• 限制：不像集成那樣安全。 要求服務(wù)器有權(quán)訪(fǎng)問(wèn)為摘要身份驗(yàn)證設(shè)置的 Active Directory 服務(wù)器。

• 需要用戶(hù)權(quán)限：要求密碼具有“將密碼另存為加密的清除文本”

• 加密類(lèi)型：基于服務(wù)器發(fā)送的 NONCE。

Windows 集成 (拆分為兩個(gè)子類(lèi)別)

Kerberos - 服務(wù)器請(qǐng)求用戶(hù)登錄。 如果瀏覽器支持 Kerberos，則會(huì)發(fā)生以下情況：

• IIS 請(qǐng)求身份驗(yàn)證。

• 如果客戶(hù)端尚未登錄到域，則 Internet Explorer 中會(huì)顯示一個(gè)請(qǐng)求憑據(jù)的對(duì)話(huà)框，然后聯(lián)系 KDC 請(qǐng)求并接收票證授予票證。 然后，它將票證授予票證以及有關(guān) IIS 服務(wù)器的信息發(fā)送到 KDC。

• 如果 IE 客戶(hù)端已成功登錄到域并收到票證授予票證，則會(huì)將此票證以及有關(guān) IIS 服務(wù)器的信息發(fā)送到 KDC

• KDC 向客戶(hù)端頒發(fā)資源票證。

• 客戶(hù)端將此票證傳遞給 IIS 服務(wù)器。

Kerberos 使用票證授予服務(wù)器 (KDC) 生成的票證進(jìn)行身份驗(yàn)證。 它會(huì)將此票證發(fā)送到 IIS 服務(wù)器。 瀏覽器不會(huì)將用戶(hù)的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 5.0 及更高版本

• 限制：服務(wù)器必須有權(quán)訪(fǎng)問(wèn) Active Directory 服務(wù)器。 服務(wù)器和客戶(hù)端都必須與 KDC 建立受信任的連接。

• 需要用戶(hù)權(quán)限：服務(wù)器上定義的匿名用戶(hù)帳戶(hù)必須具有 本地權(quán)限日志 。

• 加密類(lèi)型：加密票證。

Windows NT質(zhì)詢(xún)/響應(yīng) - 服務(wù)器請(qǐng)求用戶(hù)登錄。 如果瀏覽器支持Windows NT質(zhì)詢(xún)/響應(yīng)，則在用戶(hù)登錄時(shí)會(huì)自動(dòng)發(fā)送用戶(hù)的憑據(jù)。 如果用戶(hù)所在的域不同于服務(wù)器的域，或者如果用戶(hù)未登錄，則 Internet Explorer 中會(huì)顯示一個(gè)對(duì)話(huà)框，請(qǐng)求發(fā)送憑據(jù)。 Windows NT質(zhì)詢(xún)/響應(yīng)使用算法根據(jù)用戶(hù)的憑據(jù)和用戶(hù)正在使用的計(jì)算機(jī)生成哈希。 然后，它會(huì)將此哈希發(fā)送到服務(wù)器。 瀏覽器不會(huì)將用戶(hù)的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本。

• 限制：需要點(diǎn)到點(diǎn)連接。 通常，線(xiàn)路在出現(xiàn)“401 未經(jīng)授權(quán)”錯(cuò)誤消息后關(guān)閉：但是，在協(xié)商需要多次往返) Windows NT質(zhì)詢(xún)/響應(yīng)身份驗(yàn)證序列 (時(shí)，在客戶(hù)端表示將使用Windows NT質(zhì)詢(xún)/響應(yīng)后，服務(wù)器將保持線(xiàn)路在序列的持續(xù)時(shí)間內(nèi)保持打開(kāi)狀態(tài)。 CERN 代理和某些其他 Internet 設(shè)備阻止此操作。 此外，Windows NT質(zhì)詢(xún)/響應(yīng)不支持雙躍點(diǎn)模擬 (這意味著一旦傳遞到 IIS 服務(wù)器，則無(wú)法將相同的憑據(jù)傳遞到后端服務(wù)器進(jìn)行身份驗(yàn)證，例如，當(dāng) IIS 使用Windows NT質(zhì)詢(xún)/響應(yīng)時(shí)，它無(wú)法使用 SQL 集成安全) 對(duì)用戶(hù)在另一臺(tái)計(jì)算機(jī)上的SQL Server數(shù)據(jù)庫(kù)進(jìn)行身份驗(yàn)證。

• 需要用戶(hù)權(quán)限：訪(fǎng)問(wèn)服務(wù)器的用戶(hù)帳戶(hù)必須具有“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”權(quán)限。

• 加密類(lèi)型：未編碼的 NTLM 哈希算法。

優(yōu)先順序： 當(dāng)瀏覽器發(fā)出請(qǐng)求時(shí)，它始終將第一個(gè)請(qǐng)求視為匿名。 因此，它不會(huì)發(fā)送任何憑據(jù)。 如果服務(wù)器不接受匿名，或者服務(wù)器上設(shè)置的匿名用戶(hù)帳戶(hù)沒(méi)有請(qǐng)求的文件的權(quán)限，則 IIS 服務(wù)器將使用 “拒絕訪(fǎng)問(wèn) ”錯(cuò)誤消息進(jìn)行響應(yīng)，并使用以下方案之一發(fā)送支持的身份驗(yàn)證類(lèi)型的列表：

• 如果 Windows 集成是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務(wù)器通信。 如果失敗，服務(wù)器不會(huì)嘗試任何其他方法。

• 如果 Basic 是唯一受支持的方法 (或匿名) 失敗，則會(huì)在其中顯示一個(gè)對(duì)話(huà)框以獲取憑據(jù)，然后將這些憑據(jù)傳遞給服務(wù)器。 它嘗試發(fā)送最多三次憑據(jù)。 如果所有這些操作都失敗，瀏覽器將不會(huì)連接到服務(wù)器。

• 如果支持基本集成和 Windows 集成，瀏覽器將確定使用哪種方法。 如果瀏覽器支持 Kerberos 或Windows NT質(zhì)詢(xún)/響應(yīng)，則使用此方法。 它不會(huì)回退到基本。 如果不支持Windows NT質(zhì)詢(xún)/響應(yīng)和 Kerberos，瀏覽器將使用 Basic、Digest 或 Fortezza（如果支持這些）。 此處的優(yōu)先順序是 Basic、Digest 和 Fortezza。

有關(guān)如何在 Windows Server 2003 中配置 IIS 網(wǎng)站身份驗(yàn)證的詳細(xì)信息，請(qǐng)參閱 如何在 Windows Server 2003 中配置 IIS 網(wǎng)站身份驗(yàn)證。