Windows服務(wù)器IIS身份驗證
當前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
Web身份驗證工作原理 web身份驗證用于web瀏覽器和web服務(wù)器之間的通信,通信流程如下所示: 1、Web瀏覽器向Web服務(wù)器發(fā)起請求 2、Web服務(wù)器執(zhí)行身份驗證檢查。如果身份驗證不成功服務(wù)器會返回與以下類似的錯誤信息 · 您沒有權(quán)限查看此網(wǎng)頁 · 您無權(quán)使用您提供的憑據(jù)查看此目錄或頁,Web瀏覽器可使用此消息中提供的信息,將該請求作為身份驗證的請求重新提交 3、Web瀏覽器使用服務(wù)器的響應來構(gòu)建包含身份驗證信息的新請求 4、Web服務(wù)器執(zhí)行身份驗證檢查。如果檢查成功,Web服務(wù)器將最初請求的數(shù)據(jù)發(fā)回Web瀏覽器 身份驗證方法
匿名身份驗證使用戶無需輸入用戶名或密碼便可以訪問Web或FTP站點的公共區(qū)域。當用戶試圖連接到公共網(wǎng)站或FTP站點時,Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername(此處 computername 是運行 IIS 所在的計算機的名稱,默認情況下,IUSR_computername 帳戶包含在 Windows 用戶組 Guests 中) IUSR_computername賬戶 1)在安裝過程中,將 IUSR_computername 帳戶添加到運行 IIS 的計算機上的 Guests 組中。 2)在收到請求時,IIS 在運行任何代碼之前先模擬 IUSR_computername 帳戶。IIS 可以模擬 IUSR_computername 帳戶,因為 IIS 知道該帳戶的用戶名和密碼。 3)在將頁面返回到客戶端之前,IIS 檢查 NTFS 文件和目錄權(quán)限,查看是否允許 IUSR_computername 帳戶訪問該文件。 4)如果允許訪問,則訪問進程(也稱為“授權(quán)”)完成并給用戶提供這些資源。 5)如果不允許訪問,IIS 將嘗試使用其他驗證方法。如果沒有作出任何選擇,IIS 則向瀏覽器返回“HTTP 403 訪問被拒絕”錯誤消息。 注意 如果啟用了匿名驗證,則 IIS 始終嘗試先使用匿名驗證對用戶進行驗證,即使啟用了其他驗證方法,也是如此。可以在 Web 服務(wù)器的服務(wù)級別或單獨虛擬目錄和文件級別更改用于 IIS 管理器中匿名驗證的帳戶。
基本身份驗證通過收集用戶名和密碼等信息進行身份驗證 驗證過程 1)Internet Explorer Web瀏覽器顯示一個對話框,以使用戶輸入先前分配的Windows賬戶用戶名和密碼(憑據(jù)) 2)Web瀏覽器試圖使用用戶憑據(jù)與服務(wù)器建立連接,在通過網(wǎng)絡(luò)放送明文密碼之前該密碼采用Base64編碼 3)如果用戶憑據(jù)被拒絕,則Internet Explorer顯示一個身份驗證對話框以重新輸入用戶憑據(jù)。Internet Explore允許用戶進行三次連接嘗試,之后連接就會失敗并對用戶報告錯誤 4)如果Web服務(wù)器證實用戶名和密碼與有效Microsoft Windows用戶賬戶相符,則建立連接 優(yōu)點 基本身份驗證的優(yōu)點在于,它是HTTP規(guī)范的一部分,并且大多數(shù)瀏覽器均支持該驗證 缺點 Web瀏覽器使用基本身份驗證是以未加密的形式傳輸密碼的,通過監(jiān)視網(wǎng)絡(luò)上的通信,攻擊者或惡意用戶可以使用常見工具很容易的截取和解密這些密碼。因此,不建議使用基本身份驗證,除非確信用戶和Web服務(wù)器之間的連接是安全的,如專線或安全套接字層(SSL)連接
摘要式身份驗證提供與基本身份驗證相同的功能。但是,摘要式身份驗證在通過網(wǎng)絡(luò)發(fā)送用戶憑據(jù)方面提高了安全性,摘要式身份驗證將憑據(jù)作為MD5哈希或消息摘要在網(wǎng)絡(luò)上傳送(無法從哈希中解密原始的用戶名和密碼) 摘要式身份驗證的要求 在IIS服務(wù)器上啟用摘要式身份驗證之前,必須滿足以下最低要求,只有域管理員才能驗證是否打到域控制器要求。如果不知道域控制器是否達到以下要求,請與域管理員聯(lián)系。 1)所有訪問使用摘要式身份驗證保護的資源的客戶端使用Internet Explorer 5或更高版本 2)用戶和運行IIS的服務(wù)器必須是同一域的成員,或者由同一域信任 3)用戶必須將有效的Windows用戶賬戶存儲在域控制器的Activity Directory中 4)域必須擁有運行Windows 2000或更高版本的域控制器 5)運行IIS的計算機必須安裝了Windows 2000或更高版本
Microsoft .NET Passport是一種用戶身份驗證服務(wù),站點用戶可使用該服務(wù)創(chuàng)建單次登錄名和密碼,從而方便地訪問所有啟用.NET Passport的網(wǎng)站和服務(wù)。啟用.NET Passport的站點依靠.NET Passport中央服務(wù)器來驗證用戶,而不是主持和維護它們自己的專用身份驗證系統(tǒng)。但是.NET Passport中央服務(wù)器并不授權(quán)或拒絕特定用戶訪問單個啟用.NET Passport的站點,而是由網(wǎng)站來控制用戶權(quán)限。 .NET Passport也可以將用戶信息存儲在.NET Passport服務(wù)器上的加密配置文件(也稱為“注冊”)中。當.NET Passport用戶注冊參與站點時,就會與該站點共享個人信息以加快注冊過程,當.NET Passport用戶再次登錄到該站點時,其.NET Passport配置文件可允許訪問該站點上的個人賬戶或服務(wù)。 .NET Passport單次登錄服務(wù)與當前Web上基于表單的常用身份驗證模型類似。.NET Passport網(wǎng)絡(luò)拓展了這種模型以用于一組分布式的站點,同時有助于保留成員的保密性和安全性以及適當自定義和署名登錄的功能。
客戶證書映射是一種在證書和用戶賬戶之間創(chuàng)建映射的方式。在此模型中,用戶提供一個證書,系統(tǒng)檢查此映射以確定應登錄到哪個用戶賬戶。 映射方式 1)使用Active Directory的客戶端證書映射身份驗證。此身份驗證方法要求 IIS 7 服務(wù)器是 Active Directory 域的成員,并且用戶帳戶存儲在 Active Directory 中。 由于到 Active Directory 服務(wù)器的往返,這種客戶端證書身份驗證方法降低了性能。 2)IIS客戶端證書映射身份驗證。此身份驗證方法不需要 Active Directory,因此適用于獨立服務(wù)器。 此客戶端證書身份驗證方法提高了性能,但需要更多的配置,并且需要訪問客戶端證書才能創(chuàng)建映射。 該文章在 2024/3/5 14:58:38 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
