Windows服務(wù)器IIS身份驗(yàn)證
當(dāng)前位置:點(diǎn)晴教程→知識管理交流
→『 技術(shù)文檔交流 』
Web身份驗(yàn)證工作原理 web身份驗(yàn)證用于web瀏覽器和web服務(wù)器之間的通信,通信流程如下所示: 1、Web瀏覽器向Web服務(wù)器發(fā)起請求 2、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查。如果身份驗(yàn)證不成功服務(wù)器會返回與以下類似的錯(cuò)誤信息 · 您沒有權(quán)限查看此網(wǎng)頁 · 您無權(quán)使用您提供的憑據(jù)查看此目錄或頁,Web瀏覽器可使用此消息中提供的信息,將該請求作為身份驗(yàn)證的請求重新提交 3、Web瀏覽器使用服務(wù)器的響應(yīng)來構(gòu)建包含身份驗(yàn)證信息的新請求 4、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查。如果檢查成功,Web服務(wù)器將最初請求的數(shù)據(jù)發(fā)回Web瀏覽器 身份驗(yàn)證方法
匿名身份驗(yàn)證使用戶無需輸入用戶名或密碼便可以訪問Web或FTP站點(diǎn)的公共區(qū)域。當(dāng)用戶試圖連接到公共網(wǎng)站或FTP站點(diǎn)時(shí),Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername(此處 computername 是運(yùn)行 IIS 所在的計(jì)算機(jī)的名稱,默認(rèn)情況下,IUSR_computername 帳戶包含在 Windows 用戶組 Guests 中) IUSR_computername賬戶 1)在安裝過程中,將 IUSR_computername 帳戶添加到運(yùn)行 IIS 的計(jì)算機(jī)上的 Guests 組中。 2)在收到請求時(shí),IIS 在運(yùn)行任何代碼之前先模擬 IUSR_computername 帳戶。IIS 可以模擬 IUSR_computername 帳戶,因?yàn)?/span> IIS 知道該帳戶的用戶名和密碼。 3)在將頁面返回到客戶端之前,IIS 檢查 NTFS 文件和目錄權(quán)限,查看是否允許 IUSR_computername 帳戶訪問該文件。 4)如果允許訪問,則訪問進(jìn)程(也稱為“授權(quán)”)完成并給用戶提供這些資源。 5)如果不允許訪問,IIS 將嘗試使用其他驗(yàn)證方法。如果沒有作出任何選擇,IIS 則向?yàn)g覽器返回“HTTP 403 訪問被拒絕”錯(cuò)誤消息。 注意 如果啟用了匿名驗(yàn)證,則 IIS 始終嘗試先使用匿名驗(yàn)證對用戶進(jìn)行驗(yàn)證,即使啟用了其他驗(yàn)證方法,也是如此。可以在 Web 服務(wù)器的服務(wù)級別或單獨(dú)虛擬目錄和文件級別更改用于 IIS 管理器中匿名驗(yàn)證的帳戶。
基本身份驗(yàn)證通過收集用戶名和密碼等信息進(jìn)行身份驗(yàn)證 驗(yàn)證過程 1)Internet Explorer Web瀏覽器顯示一個(gè)對話框,以使用戶輸入先前分配的Windows賬戶用戶名和密碼(憑據(jù)) 2)Web瀏覽器試圖使用用戶憑據(jù)與服務(wù)器建立連接,在通過網(wǎng)絡(luò)放送明文密碼之前該密碼采用Base64編碼 3)如果用戶憑據(jù)被拒絕,則Internet Explorer顯示一個(gè)身份驗(yàn)證對話框以重新輸入用戶憑據(jù)。Internet Explore允許用戶進(jìn)行三次連接嘗試,之后連接就會失敗并對用戶報(bào)告錯(cuò)誤 4)如果Web服務(wù)器證實(shí)用戶名和密碼與有效Microsoft Windows用戶賬戶相符,則建立連接 優(yōu)點(diǎn) 基本身份驗(yàn)證的優(yōu)點(diǎn)在于,它是HTTP規(guī)范的一部分,并且大多數(shù)瀏覽器均支持該驗(yàn)證 缺點(diǎn) Web瀏覽器使用基本身份驗(yàn)證是以未加密的形式傳輸密碼的,通過監(jiān)視網(wǎng)絡(luò)上的通信,攻擊者或惡意用戶可以使用常見工具很容易的截取和解密這些密碼。因此,不建議使用基本身份驗(yàn)證,除非確信用戶和Web服務(wù)器之間的連接是安全的,如專線或安全套接字層(SSL)連接
摘要式身份驗(yàn)證提供與基本身份驗(yàn)證相同的功能。但是,摘要式身份驗(yàn)證在通過網(wǎng)絡(luò)發(fā)送用戶憑據(jù)方面提高了安全性,摘要式身份驗(yàn)證將憑據(jù)作為MD5哈希或消息摘要在網(wǎng)絡(luò)上傳送(無法從哈希中解密原始的用戶名和密碼) 摘要式身份驗(yàn)證的要求 在IIS服務(wù)器上啟用摘要式身份驗(yàn)證之前,必須滿足以下最低要求,只有域管理員才能驗(yàn)證是否打到域控制器要求。如果不知道域控制器是否達(dá)到以下要求,請與域管理員聯(lián)系。 1)所有訪問使用摘要式身份驗(yàn)證保護(hù)的資源的客戶端使用Internet Explorer 5或更高版本 2)用戶和運(yùn)行IIS的服務(wù)器必須是同一域的成員,或者由同一域信任 3)用戶必須將有效的Windows用戶賬戶存儲在域控制器的Activity Directory中 4)域必須擁有運(yùn)行Windows 2000或更高版本的域控制器 5)運(yùn)行IIS的計(jì)算機(jī)必須安裝了Windows 2000或更高版本
Microsoft .NET Passport是一種用戶身份驗(yàn)證服務(wù),站點(diǎn)用戶可使用該服務(wù)創(chuàng)建單次登錄名和密碼,從而方便地訪問所有啟用.NET Passport的網(wǎng)站和服務(wù)。啟用.NET Passport的站點(diǎn)依靠.NET Passport中央服務(wù)器來驗(yàn)證用戶,而不是主持和維護(hù)它們自己的專用身份驗(yàn)證系統(tǒng)。但是.NET Passport中央服務(wù)器并不授權(quán)或拒絕特定用戶訪問單個(gè)啟用.NET Passport的站點(diǎn),而是由網(wǎng)站來控制用戶權(quán)限。 .NET Passport也可以將用戶信息存儲在.NET Passport服務(wù)器上的加密配置文件(也稱為“注冊”)中。當(dāng).NET Passport用戶注冊參與站點(diǎn)時(shí),就會與該站點(diǎn)共享個(gè)人信息以加快注冊過程,當(dāng).NET Passport用戶再次登錄到該站點(diǎn)時(shí),其.NET Passport配置文件可允許訪問該站點(diǎn)上的個(gè)人賬戶或服務(wù)。 .NET Passport單次登錄服務(wù)與當(dāng)前Web上基于表單的常用身份驗(yàn)證模型類似。.NET Passport網(wǎng)絡(luò)拓展了這種模型以用于一組分布式的站點(diǎn),同時(shí)有助于保留成員的保密性和安全性以及適當(dāng)自定義和署名登錄的功能。
客戶證書映射是一種在證書和用戶賬戶之間創(chuàng)建映射的方式。在此模型中,用戶提供一個(gè)證書,系統(tǒng)檢查此映射以確定應(yīng)登錄到哪個(gè)用戶賬戶。 映射方式 1)使用Active Directory的客戶端證書映射身份驗(yàn)證。此身份驗(yàn)證方法要求 IIS 7 服務(wù)器是 Active Directory 域的成員,并且用戶帳戶存儲在 Active Directory 中。 由于到 Active Directory 服務(wù)器的往返,這種客戶端證書身份驗(yàn)證方法降低了性能。 2)IIS客戶端證書映射身份驗(yàn)證。此身份驗(yàn)證方法不需要 Active Directory,因此適用于獨(dú)立服務(wù)器。 此客戶端證書身份驗(yàn)證方法提高了性能,但需要更多的配置,并且需要訪問客戶端證書才能創(chuàng)建映射。 該文章在 2024/3/5 14:58:38 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
