欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發文檔 其他文檔  
 
網站管理員

[點晴永久免費OA]IIS 對瀏覽器客戶端進行身份驗證

admin
2024年3月4日 16:8 本文熱度 708

本文介紹 IIS 如何對瀏覽器客戶端進行身份驗證。

原始產品版本: Ie
原始 KB 編號: 264921

摘要

本文介紹 IIS 中適用于 Windows NT 4.0、Windows 2000 及更高版本的不同身份驗證方法。 有關本文中討論的信息的更完整說明,請參閱 Windows NT 4.0 和 Windows 2000 資源指南。

可用于 Windows NT 4.0 的身份驗證方法

匿名 - 無需登錄,任何人都可以訪問使用此方法保護的數據。 默認情況下,服務器使用內置帳戶 (IUSR_[計算機名稱]) 來控制文件的權限。 瀏覽器不會發送任何具有此類請求的憑據或用戶信息。

  • 支持的瀏覽器:任意

  • 限制:無

  • 需要用戶權限:服務器上定義的匿名用戶帳戶必須具有 本地權限日志 。

  • 加密類型:無

基本 (清除文本) - 服務器請求用戶登錄,并在瀏覽器中顯示一個對話框,允許用戶輸入所需的憑據。 這些憑據必須與用戶嘗試訪問的文件上定義的用戶憑據匹配。

  • 支持的瀏覽器:任意

  • 限制:不安全。 密碼易于解密。

  • 需要用戶權限:用戶帳戶必須具有 本地權限日志 。

  • 加密類型:基礎 64 編碼 (不是真正的加密)

Windows NT質詢/響應 - 服務器請求用戶登錄。 如果瀏覽器支持Windows NT質詢/響應,則在用戶登錄時會自動發送用戶的憑據。 如果用戶所在的域不同于服務器的域,或者如果用戶未登錄,則會出現一個對話框,請求發送憑據。 Windows NT質詢/響應使用算法根據用戶的憑據和用戶正在使用的計算機生成哈希。 然后,它會將此哈希發送到服務器。 瀏覽器不會將用戶的密碼發送到服務器。

  • 支持的瀏覽器:Internet Explorer 版本 3.01 及更高版本

  • 限制:需要點到點連接。 通常,線路在出現“401 未經授權”錯誤消息后關閉:但是,在協商需要多次往返) Windows NT質詢/響應身份驗證序列 (時,在客戶端表示將使用Windows NT質詢/響應后,服務器將保持線路在序列的持續時間內保持打開狀態。 CERN 代理和某些其他 Internet 設備阻止此操作。 此外,Windows NT質詢/響應不支持雙躍點模擬 (在傳遞到 IIS 服務器后,無法將相同的憑據傳遞到后端服務器進行身份驗證) 。

  • 需要用戶權限:訪問服務器的用戶帳戶必須具有“從網絡訪問此計算機”權限。

  • 加密類型:未編碼的 NTLM 哈希算法。

優先順序: 當瀏覽器發出請求時,它始終將第一個請求視為匿名。 因此,它不會發送任何憑據。 如果服務器不接受匿名或服務器上設置的匿名用戶帳戶對所請求的文件沒有權限,則 IIS 服務器將使用 “拒絕訪問 ”錯誤消息進行響應,并使用以下方案之一發送支持的身份驗證類型的列表:

  • 如果Windows NT質詢/響應是唯一受支持的方法 (或匿名失敗) ,則瀏覽器必須支持此方法才能與服務器通信。 否則,它無法與服務器協商,并且用戶收到 “拒絕訪問” 錯誤消息。

  • 如果 Basic 是唯一受支持的方法 (或匿名失敗) ,則瀏覽器中會顯示一個對話框以獲取憑據,然后將這些憑據傳遞給服務器。 它嘗試發送這些憑據最多三次。 如果所有這些操作都失敗,則瀏覽器不會連接到服務器。

  • 如果支持基本和Windows NT質詢/響應,瀏覽器將確定使用哪種方法。 如果瀏覽器支持Windows NT質詢/響應,則它使用此方法,并且不會回退到 Basic。 如果不支持Windows NT質詢/響應,瀏覽器將使用 Basic。

 備注

  • 當瀏覽器通過使用 Basic 或 NTLM 身份驗證與網站建立連接時,它不會在與服務器的會話的剩余時間內回退到 Anonymous。 如果嘗試連接到僅在身份驗證后才標記為“匿名”的網頁,則會被拒絕。 (對于 Netscape) ,這可能成立,也可能不適用。

  • 當 Internet Explorer 通過使用 Basic 或 NTLM 身份驗證與服務器建立連接時,它會在會話期間傳遞每個新請求的憑據。

適用于 Windows 2000 及更高版本的身份驗證方法

匿名 - 無需登錄,任何人都可以訪問使用此方法保護的數據。 默認情況下,服務器使用內置帳戶 (IUSR_[計算機名稱]) 來控制文件的權限。 瀏覽器不會發送任何具有此類請求的憑據或用戶信息。

  • 支持的瀏覽器:任意

  • 限制:無

  • 需要用戶權限:服務器上定義的匿名用戶帳戶必須具有“本地登錄”權限。

  • 加密類型:無

基本 (清除文本) - 服務器請求用戶登錄,并在瀏覽器中顯示一個對話框,允許用戶輸入所需的憑據。 這些憑據必須與用戶嘗試訪問的文件上定義的用戶憑據匹配。

  • 支持的瀏覽器:任意

  • 限制:不安全。 密碼易于解密。

  • 需要用戶權限:用戶帳戶必須具有本地權限日志

  • 加密類型:基礎 64 編碼 (不是真正的加密)

摘要 - 服務器請求用戶登錄,并發送用于加密密碼的 NONCE。 瀏覽器使用 NONCE 加密密碼并將密碼發送到服務器。 然后,服務器將加密其自己的用戶密碼副本并進行比較。 如果用戶匹配且用戶具有權限,則授予訪問權限。

  • 支持的瀏覽器:Internet Explorer 5 及更高版本

  • 限制:不像集成那樣安全。 要求服務器有權訪問為摘要身份驗證設置的 Active Directory 服務器。

  • 需要用戶權限:要求密碼具有“將密碼另存為加密的清除文本”

  • 加密類型:基于服務器發送的 NONCE。

Windows 集成 (拆分為兩個子類別)

Kerberos - 服務器請求用戶登錄。 如果瀏覽器支持 Kerberos,則會發生以下情況:

  • IIS 請求身份驗證。

  • 如果客戶端尚未登錄到域,則 Internet Explorer 中會顯示一個請求憑據的對話框,然后聯系 KDC 請求并接收票證授予票證。 然后,它將票證授予票證以及有關 IIS 服務器的信息發送到 KDC。

  • 如果 IE 客戶端已成功登錄到域并收到票證授予票證,則會將此票證以及有關 IIS 服務器的信息發送到 KDC

  • KDC 向客戶端頒發資源票證。

  • 客戶端將此票證傳遞給 IIS 服務器。

Kerberos 使用票證授予服務器 (KDC) 生成的票證進行身份驗證。 它會將此票證發送到 IIS 服務器。 瀏覽器不會將用戶的密碼發送到服務器。

  • 支持的瀏覽器:Internet Explorer 版本 5.0 及更高版本

  • 限制:服務器必須有權訪問 Active Directory 服務器。 服務器和客戶端都必須與 KDC 建立受信任的連接。

  • 需要用戶權限:服務器上定義的匿名用戶帳戶必須具有 本地權限日志 。

  • 加密類型:加密票證。

Windows NT質詢/響應 - 服務器請求用戶登錄。 如果瀏覽器支持Windows NT質詢/響應,則在用戶登錄時會自動發送用戶的憑據。 如果用戶所在的域不同于服務器的域,或者如果用戶未登錄,則 Internet Explorer 中會顯示一個對話框,請求發送憑據。 Windows NT質詢/響應使用算法根據用戶的憑據和用戶正在使用的計算機生成哈希。 然后,它會將此哈希發送到服務器。 瀏覽器不會將用戶的密碼發送到服務器。

  • 支持的瀏覽器:Internet Explorer 版本 3.01 及更高版本。

  • 限制:需要點到點連接。 通常,線路在出現“401 未經授權”錯誤消息后關閉:但是,在協商需要多次往返) Windows NT質詢/響應身份驗證序列 (時,在客戶端表示將使用Windows NT質詢/響應后,服務器將保持線路在序列的持續時間內保持打開狀態。 CERN 代理和某些其他 Internet 設備阻止此操作。 此外,Windows NT質詢/響應不支持雙躍點模擬 (這意味著一旦傳遞到 IIS 服務器,則無法將相同的憑據傳遞到后端服務器進行身份驗證,例如,當 IIS 使用Windows NT質詢/響應時,它無法使用 SQL 集成安全) 對用戶在另一臺計算機上的SQL Server數據庫進行身份驗證。

  • 需要用戶權限:訪問服務器的用戶帳戶必須具有“從網絡訪問此計算機”權限。

  • 加密類型:未編碼的 NTLM 哈希算法。

優先順序: 當瀏覽器發出請求時,它始終將第一個請求視為匿名。 因此,它不會發送任何憑據。 如果服務器不接受匿名,或者服務器上設置的匿名用戶帳戶沒有請求的文件的權限,則 IIS 服務器將使用 “拒絕訪問 ”錯誤消息進行響應,并使用以下方案之一發送支持的身份驗證類型的列表:

  • 如果 Windows 集成是唯一受支持的方法 (或匿名失敗) ,則瀏覽器必須支持此方法才能與服務器通信。 如果失敗,服務器不會嘗試任何其他方法。

  • 如果 Basic 是唯一受支持的方法 (或匿名) 失敗,則會在其中顯示一個對話框以獲取憑據,然后將這些憑據傳遞給服務器。 它嘗試發送最多三次憑據。 如果所有這些操作都失敗,瀏覽器將不會連接到服務器。

  • 如果支持基本集成和 Windows 集成,瀏覽器將確定使用哪種方法。 如果瀏覽器支持 Kerberos 或Windows NT質詢/響應,則使用此方法。 它不會回退到基本。 如果不支持Windows NT質詢/響應和 Kerberos,瀏覽器將使用 Basic、Digest 或 Fortezza(如果支持這些)。 此處的優先順序是 Basic、Digest 和 Fortezza。

 備注

  • 當瀏覽器使用基本身份驗證或 Windows 集成身份驗證與網站建立連接時,它不會在與服務器的會話的剩余時間內回退到匿名。 如果嘗試連接到僅在身份驗證后才標記為“匿名”的網頁,則會被拒絕。 (對于 Netscape) ,這可能成立,也可能不適用。

  • 當 Internet Explorer 使用匿名以外的身份驗證方法與服務器建立連接時,它會在會話期間自動傳遞每個新請求的憑據。

參考

有關如何在 Windows Server 2003 中配置 IIS 網站身份驗證的詳細信息,請參閱 如何在 Windows Server 2003 中配置 IIS 網站身份驗證


該文章在 2024/3/5 12:21:11 編輯過
關鍵字查詢
相關文章
正在查詢...
點晴ERP是一款針對中小制造業的專業生產管理軟件系統,系統成熟度和易用性得到了國內大量中小企業的青睞。
點晴PMS碼頭管理系統主要針對港口碼頭集裝箱與散貨日常運作、調度、堆場、車隊、財務費用、相關報表等業務管理,結合碼頭的業務特點,圍繞調度、堆場作業而開發的。集技術的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業的高效ERP管理信息系統。
點晴WMS倉儲管理系統提供了貨物產品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質期管理,貨位管理,庫位管理,生產管理,WMS管理系統,標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務都免費,不限功能、不限時間、不限用戶的免費OA協同辦公管理系統。
Copyright 2010-2025 ClickSun All Rights Reserved