本文介紹 IIS 如何對(duì)瀏覽器客戶端進(jìn)行身份驗(yàn)證。

原始產(chǎn)品版本： Ie
原始 KB 編號(hào)： 264921

本文介紹 IIS 中適用于 Windows NT 4.0、Windows 2000 及更高版本的不同身份驗(yàn)證方法。 有關(guān)本文中討論的信息的更完整說明，請參閱 Windows NT 4.0 和 Windows 2000 資源指南。

匿名 - 無需登錄，任何人都可以訪問使用此方法保護(hù)的數(shù)據(jù)。 默認(rèn)情況下，服務(wù)器使用內(nèi)置帳戶 (IUSR_[計(jì)算機(jī)名稱]) 來控制文件的權(quán)限。 瀏覽器不會(huì)發(fā)送任何具有此類請求的憑據(jù)或用戶信息。

• 支持的瀏覽器：任意

• 限制：無

• 需要用戶權(quán)限：服務(wù)器上定義的匿名用戶帳戶必須具有 本地權(quán)限日志 。

• 加密類型：無

基本 (清除文本) - 服務(wù)器請求用戶登錄，并在瀏覽器中顯示一個(gè)對(duì)話框，允許用戶輸入所需的憑據(jù)。 這些憑據(jù)必須與用戶嘗試訪問的文件上定義的用戶憑據(jù)匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶權(quán)限：用戶帳戶必須具有 本地權(quán)限日志 。

• 加密類型：基礎(chǔ) 64 編碼 (不是真正的加密)

Windows NT質(zhì)詢/響應(yīng) - 服務(wù)器請求用戶登錄。 如果瀏覽器支持Windows NT質(zhì)詢/響應(yīng)，則在用戶登錄時(shí)會(huì)自動(dòng)發(fā)送用戶的憑據(jù)。 如果用戶所在的域不同于服務(wù)器的域，或者如果用戶未登錄，則會(huì)出現(xiàn)一個(gè)對(duì)話框，請求發(fā)送憑據(jù)。 Windows NT質(zhì)詢/響應(yīng)使用算法根據(jù)用戶的憑據(jù)和用戶正在使用的計(jì)算機(jī)生成哈希。 然后，它會(huì)將此哈希發(fā)送到服務(wù)器。 瀏覽器不會(huì)將用戶的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本

• 限制：需要點(diǎn)到點(diǎn)連接。 通常，線路在出現(xiàn)“401 未經(jīng)授權(quán)”錯(cuò)誤消息后關(guān)閉：但是，在協(xié)商需要多次往返) Windows NT質(zhì)詢/響應(yīng)身份驗(yàn)證序列 (時(shí)，在客戶端表示將使用Windows NT質(zhì)詢/響應(yīng)后，服務(wù)器將保持線路在序列的持續(xù)時(shí)間內(nèi)保持打開狀態(tài)。 CERN 代理和某些其他 Internet 設(shè)備阻止此操作。 此外，Windows NT質(zhì)詢/響應(yīng)不支持雙躍點(diǎn)模擬 (在傳遞到 IIS 服務(wù)器后，無法將相同的憑據(jù)傳遞到后端服務(wù)器進(jìn)行身份驗(yàn)證) 。

• 需要用戶權(quán)限：訪問服務(wù)器的用戶帳戶必須具有“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”權(quán)限。

• 加密類型：未編碼的 NTLM 哈希算法。

優(yōu)先順序： 當(dāng)瀏覽器發(fā)出請求時(shí)，它始終將第一個(gè)請求視為匿名。 因此，它不會(huì)發(fā)送任何憑據(jù)。 如果服務(wù)器不接受匿名或服務(wù)器上設(shè)置的匿名用戶帳戶對(duì)所請求的文件沒有權(quán)限，則 IIS 服務(wù)器將使用 “拒絕訪問 ”錯(cuò)誤消息進(jìn)行響應(yīng)，并使用以下方案之一發(fā)送支持的身份驗(yàn)證類型的列表：

• 如果Windows NT質(zhì)詢/響應(yīng)是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務(wù)器通信。 否則，它無法與服務(wù)器協(xié)商，并且用戶收到 “拒絕訪問” 錯(cuò)誤消息。

• 如果 Basic 是唯一受支持的方法 (或匿名失敗) ，則瀏覽器中會(huì)顯示一個(gè)對(duì)話框以獲取憑據(jù)，然后將這些憑據(jù)傳遞給服務(wù)器。 它嘗試發(fā)送這些憑據(jù)最多三次。 如果所有這些操作都失敗，則瀏覽器不會(huì)連接到服務(wù)器。

• 如果支持基本和Windows NT質(zhì)詢/響應(yīng)，瀏覽器將確定使用哪種方法。 如果瀏覽器支持Windows NT質(zhì)詢/響應(yīng)，則它使用此方法，并且不會(huì)回退到 Basic。 如果不支持Windows NT質(zhì)詢/響應(yīng)，瀏覽器將使用 Basic。

匿名 - 無需登錄，任何人都可以訪問使用此方法保護(hù)的數(shù)據(jù)。 默認(rèn)情況下，服務(wù)器使用內(nèi)置帳戶 (IUSR_[計(jì)算機(jī)名稱]) 來控制文件的權(quán)限。 瀏覽器不會(huì)發(fā)送任何具有此類請求的憑據(jù)或用戶信息。

• 支持的瀏覽器：任意

• 限制：無

• 需要用戶權(quán)限：服務(wù)器上定義的匿名用戶帳戶必須具有“本地登錄”權(quán)限。

• 加密類型：無

基本 (清除文本) - 服務(wù)器請求用戶登錄，并在瀏覽器中顯示一個(gè)對(duì)話框，允許用戶輸入所需的憑據(jù)。 這些憑據(jù)必須與用戶嘗試訪問的文件上定義的用戶憑據(jù)匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶權(quán)限：用戶帳戶必須具有本地權(quán)限日志

• 加密類型：基礎(chǔ) 64 編碼 (不是真正的加密)

摘要 - 服務(wù)器請求用戶登錄，并發(fā)送用于加密密碼的 NONCE。 瀏覽器使用 NONCE 加密密碼并將密碼發(fā)送到服務(wù)器。 然后，服務(wù)器將加密其自己的用戶密碼副本并進(jìn)行比較。 如果用戶匹配且用戶具有權(quán)限，則授予訪問權(quán)限。

• 支持的瀏覽器：Internet Explorer 5 及更高版本

• 限制：不像集成那樣安全。 要求服務(wù)器有權(quán)訪問為摘要身份驗(yàn)證設(shè)置的 Active Directory 服務(wù)器。

• 需要用戶權(quán)限：要求密碼具有“將密碼另存為加密的清除文本”

• 加密類型：基于服務(wù)器發(fā)送的 NONCE。

Windows 集成 (拆分為兩個(gè)子類別)

Kerberos - 服務(wù)器請求用戶登錄。 如果瀏覽器支持 Kerberos，則會(huì)發(fā)生以下情況：

• IIS 請求身份驗(yàn)證。

• 如果客戶端尚未登錄到域，則 Internet Explorer 中會(huì)顯示一個(gè)請求憑據(jù)的對(duì)話框，然后聯(lián)系 KDC 請求并接收票證授予票證。 然后，它將票證授予票證以及有關(guān) IIS 服務(wù)器的信息發(fā)送到 KDC。

• 如果 IE 客戶端已成功登錄到域并收到票證授予票證，則會(huì)將此票證以及有關(guān) IIS 服務(wù)器的信息發(fā)送到 KDC

• KDC 向客戶端頒發(fā)資源票證。

• 客戶端將此票證傳遞給 IIS 服務(wù)器。

Kerberos 使用票證授予服務(wù)器 (KDC) 生成的票證進(jìn)行身份驗(yàn)證。 它會(huì)將此票證發(fā)送到 IIS 服務(wù)器。 瀏覽器不會(huì)將用戶的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 5.0 及更高版本

• 限制：服務(wù)器必須有權(quán)訪問 Active Directory 服務(wù)器。 服務(wù)器和客戶端都必須與 KDC 建立受信任的連接。

• 需要用戶權(quán)限：服務(wù)器上定義的匿名用戶帳戶必須具有 本地權(quán)限日志 。

• 加密類型：加密票證。

Windows NT質(zhì)詢/響應(yīng) - 服務(wù)器請求用戶登錄。 如果瀏覽器支持Windows NT質(zhì)詢/響應(yīng)，則在用戶登錄時(shí)會(huì)自動(dòng)發(fā)送用戶的憑據(jù)。 如果用戶所在的域不同于服務(wù)器的域，或者如果用戶未登錄，則 Internet Explorer 中會(huì)顯示一個(gè)對(duì)話框，請求發(fā)送憑據(jù)。 Windows NT質(zhì)詢/響應(yīng)使用算法根據(jù)用戶的憑據(jù)和用戶正在使用的計(jì)算機(jī)生成哈希。 然后，它會(huì)將此哈希發(fā)送到服務(wù)器。 瀏覽器不會(huì)將用戶的密碼發(fā)送到服務(wù)器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本。

• 限制：需要點(diǎn)到點(diǎn)連接。 通常，線路在出現(xiàn)“401 未經(jīng)授權(quán)”錯(cuò)誤消息后關(guān)閉：但是，在協(xié)商需要多次往返) Windows NT質(zhì)詢/響應(yīng)身份驗(yàn)證序列 (時(shí)，在客戶端表示將使用Windows NT質(zhì)詢/響應(yīng)后，服務(wù)器將保持線路在序列的持續(xù)時(shí)間內(nèi)保持打開狀態(tài)。 CERN 代理和某些其他 Internet 設(shè)備阻止此操作。 此外，Windows NT質(zhì)詢/響應(yīng)不支持雙躍點(diǎn)模擬 (這意味著一旦傳遞到 IIS 服務(wù)器，則無法將相同的憑據(jù)傳遞到后端服務(wù)器進(jìn)行身份驗(yàn)證，例如，當(dāng) IIS 使用Windows NT質(zhì)詢/響應(yīng)時(shí)，它無法使用 SQL 集成安全) 對(duì)用戶在另一臺(tái)計(jì)算機(jī)上的SQL Server數(shù)據(jù)庫進(jìn)行身份驗(yàn)證。

• 需要用戶權(quán)限：訪問服務(wù)器的用戶帳戶必須具有“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”權(quán)限。

• 加密類型：未編碼的 NTLM 哈希算法。

優(yōu)先順序： 當(dāng)瀏覽器發(fā)出請求時(shí)，它始終將第一個(gè)請求視為匿名。 因此，它不會(huì)發(fā)送任何憑據(jù)。 如果服務(wù)器不接受匿名，或者服務(wù)器上設(shè)置的匿名用戶帳戶沒有請求的文件的權(quán)限，則 IIS 服務(wù)器將使用 “拒絕訪問 ”錯(cuò)誤消息進(jìn)行響應(yīng)，并使用以下方案之一發(fā)送支持的身份驗(yàn)證類型的列表：

• 如果 Windows 集成是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務(wù)器通信。 如果失敗，服務(wù)器不會(huì)嘗試任何其他方法。

• 如果 Basic 是唯一受支持的方法 (或匿名) 失敗，則會(huì)在其中顯示一個(gè)對(duì)話框以獲取憑據(jù)，然后將這些憑據(jù)傳遞給服務(wù)器。 它嘗試發(fā)送最多三次憑據(jù)。 如果所有這些操作都失敗，瀏覽器將不會(huì)連接到服務(wù)器。

• 如果支持基本集成和 Windows 集成，瀏覽器將確定使用哪種方法。 如果瀏覽器支持 Kerberos 或Windows NT質(zhì)詢/響應(yīng)，則使用此方法。 它不會(huì)回退到基本。 如果不支持Windows NT質(zhì)詢/響應(yīng)和 Kerberos，瀏覽器將使用 Basic、Digest 或 Fortezza（如果支持這些）。 此處的優(yōu)先順序是 Basic、Digest 和 Fortezza。

有關(guān)如何在 Windows Server 2003 中配置 IIS 網(wǎng)站身份驗(yàn)證的詳細(xì)信息，請參閱 如何在 Windows Server 2003 中配置 IIS 網(wǎng)站身份驗(yàn)證。