欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

本文介紹 IIS 如何對瀏覽器客戶端進行身份驗證。

原始產品版本： Ie
原始 KB 編號： 264921

本文介紹 IIS 中適用于 Windows NT 4.0、Windows 2000 及更高版本的不同身份驗證方法。 有關本文中討論的信息的更完整說明，請參閱 Windows NT 4.0 和 Windows 2000 資源指南。

匿名 - 無需登錄，任何人都可以訪問使用此方法保護的數據。 默認情況下，服務器使用內置帳戶 (IUSR_[計算機名稱]) 來控制文件的權限。 瀏覽器不會發送任何具有此類請求的憑據或用戶信息。

• 支持的瀏覽器：任意

• 限制：無

• 需要用戶權限：服務器上定義的匿名用戶帳戶必須具有 本地權限日志 。

• 加密類型：無

基本 (清除文本) - 服務器請求用戶登錄，并在瀏覽器中顯示一個對話框，允許用戶輸入所需的憑據。 這些憑據必須與用戶嘗試訪問的文件上定義的用戶憑據匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶權限：用戶帳戶必須具有 本地權限日志 。

• 加密類型：基礎 64 編碼 (不是真正的加密)

Windows NT質詢/響應 - 服務器請求用戶登錄。 如果瀏覽器支持Windows NT質詢/響應，則在用戶登錄時會自動發送用戶的憑據。 如果用戶所在的域不同于服務器的域，或者如果用戶未登錄，則會出現一個對話框，請求發送憑據。 Windows NT質詢/響應使用算法根據用戶的憑據和用戶正在使用的計算機生成哈希。 然后，它會將此哈希發送到服務器。 瀏覽器不會將用戶的密碼發送到服務器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本

• 限制：需要點到點連接。 通常，線路在出現“401 未經授權”錯誤消息后關閉：但是，在協商需要多次往返) Windows NT質詢/響應身份驗證序列 (時，在客戶端表示將使用Windows NT質詢/響應后，服務器將保持線路在序列的持續時間內保持打開狀態。 CERN 代理和某些其他 Internet 設備阻止此操作。 此外，Windows NT質詢/響應不支持雙躍點模擬 (在傳遞到 IIS 服務器后，無法將相同的憑據傳遞到后端服務器進行身份驗證) 。

• 需要用戶權限：訪問服務器的用戶帳戶必須具有“從網絡訪問此計算機”權限。

• 加密類型：未編碼的 NTLM 哈希算法。

優先順序： 當瀏覽器發出請求時，它始終將第一個請求視為匿名。 因此，它不會發送任何憑據。 如果服務器不接受匿名或服務器上設置的匿名用戶帳戶對所請求的文件沒有權限，則 IIS 服務器將使用 “拒絕訪問 ”錯誤消息進行響應，并使用以下方案之一發送支持的身份驗證類型的列表：

• 如果Windows NT質詢/響應是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務器通信。 否則，它無法與服務器協商，并且用戶收到 “拒絕訪問” 錯誤消息。

• 如果 Basic 是唯一受支持的方法 (或匿名失敗) ，則瀏覽器中會顯示一個對話框以獲取憑據，然后將這些憑據傳遞給服務器。 它嘗試發送這些憑據最多三次。 如果所有這些操作都失敗，則瀏覽器不會連接到服務器。

• 如果支持基本和Windows NT質詢/響應，瀏覽器將確定使用哪種方法。 如果瀏覽器支持Windows NT質詢/響應，則它使用此方法，并且不會回退到 Basic。 如果不支持Windows NT質詢/響應，瀏覽器將使用 Basic。

匿名 - 無需登錄，任何人都可以訪問使用此方法保護的數據。 默認情況下，服務器使用內置帳戶 (IUSR_[計算機名稱]) 來控制文件的權限。 瀏覽器不會發送任何具有此類請求的憑據或用戶信息。

• 支持的瀏覽器：任意

• 限制：無

• 需要用戶權限：服務器上定義的匿名用戶帳戶必須具有“本地登錄”權限。

• 加密類型：無

基本 (清除文本) - 服務器請求用戶登錄，并在瀏覽器中顯示一個對話框，允許用戶輸入所需的憑據。 這些憑據必須與用戶嘗試訪問的文件上定義的用戶憑據匹配。

• 支持的瀏覽器：任意

• 限制：不安全。 密碼易于解密。

• 需要用戶權限：用戶帳戶必須具有本地權限日志

• 加密類型：基礎 64 編碼 (不是真正的加密)

摘要 - 服務器請求用戶登錄，并發送用于加密密碼的 NONCE。 瀏覽器使用 NONCE 加密密碼并將密碼發送到服務器。 然后，服務器將加密其自己的用戶密碼副本并進行比較。 如果用戶匹配且用戶具有權限，則授予訪問權限。

• 支持的瀏覽器：Internet Explorer 5 及更高版本

• 限制：不像集成那樣安全。 要求服務器有權訪問為摘要身份驗證設置的 Active Directory 服務器。

• 需要用戶權限：要求密碼具有“將密碼另存為加密的清除文本”

• 加密類型：基于服務器發送的 NONCE。

Windows 集成 (拆分為兩個子類別)

Kerberos - 服務器請求用戶登錄。 如果瀏覽器支持 Kerberos，則會發生以下情況：

• IIS 請求身份驗證。

• 如果客戶端尚未登錄到域，則 Internet Explorer 中會顯示一個請求憑據的對話框，然后聯系 KDC 請求并接收票證授予票證。 然后，它將票證授予票證以及有關 IIS 服務器的信息發送到 KDC。

• 如果 IE 客戶端已成功登錄到域并收到票證授予票證，則會將此票證以及有關 IIS 服務器的信息發送到 KDC

• KDC 向客戶端頒發資源票證。

• 客戶端將此票證傳遞給 IIS 服務器。

Kerberos 使用票證授予服務器 (KDC) 生成的票證進行身份驗證。 它會將此票證發送到 IIS 服務器。 瀏覽器不會將用戶的密碼發送到服務器。

• 支持的瀏覽器：Internet Explorer 版本 5.0 及更高版本

• 限制：服務器必須有權訪問 Active Directory 服務器。 服務器和客戶端都必須與 KDC 建立受信任的連接。

• 需要用戶權限：服務器上定義的匿名用戶帳戶必須具有 本地權限日志 。

• 加密類型：加密票證。

Windows NT質詢/響應 - 服務器請求用戶登錄。 如果瀏覽器支持Windows NT質詢/響應，則在用戶登錄時會自動發送用戶的憑據。 如果用戶所在的域不同于服務器的域，或者如果用戶未登錄，則 Internet Explorer 中會顯示一個對話框，請求發送憑據。 Windows NT質詢/響應使用算法根據用戶的憑據和用戶正在使用的計算機生成哈希。 然后，它會將此哈希發送到服務器。 瀏覽器不會將用戶的密碼發送到服務器。

• 支持的瀏覽器：Internet Explorer 版本 3.01 及更高版本。

• 限制：需要點到點連接。 通常，線路在出現“401 未經授權”錯誤消息后關閉：但是，在協商需要多次往返) Windows NT質詢/響應身份驗證序列 (時，在客戶端表示將使用Windows NT質詢/響應后，服務器將保持線路在序列的持續時間內保持打開狀態。 CERN 代理和某些其他 Internet 設備阻止此操作。 此外，Windows NT質詢/響應不支持雙躍點模擬 (這意味著一旦傳遞到 IIS 服務器，則無法將相同的憑據傳遞到后端服務器進行身份驗證，例如，當 IIS 使用Windows NT質詢/響應時，它無法使用 SQL 集成安全) 對用戶在另一臺計算機上的SQL Server數據庫進行身份驗證。

• 需要用戶權限：訪問服務器的用戶帳戶必須具有“從網絡訪問此計算機”權限。

• 加密類型：未編碼的 NTLM 哈希算法。

優先順序： 當瀏覽器發出請求時，它始終將第一個請求視為匿名。 因此，它不會發送任何憑據。 如果服務器不接受匿名，或者服務器上設置的匿名用戶帳戶沒有請求的文件的權限，則 IIS 服務器將使用 “拒絕訪問 ”錯誤消息進行響應，并使用以下方案之一發送支持的身份驗證類型的列表：

• 如果 Windows 集成是唯一受支持的方法 (或匿名失敗) ，則瀏覽器必須支持此方法才能與服務器通信。 如果失敗，服務器不會嘗試任何其他方法。

• 如果 Basic 是唯一受支持的方法 (或匿名) 失敗，則會在其中顯示一個對話框以獲取憑據，然后將這些憑據傳遞給服務器。 它嘗試發送最多三次憑據。 如果所有這些操作都失敗，瀏覽器將不會連接到服務器。

• 如果支持基本集成和 Windows 集成，瀏覽器將確定使用哪種方法。 如果瀏覽器支持 Kerberos 或Windows NT質詢/響應，則使用此方法。 它不會回退到基本。 如果不支持Windows NT質詢/響應和 Kerberos，瀏覽器將使用 Basic、Digest 或 Fortezza（如果支持這些）。 此處的優先順序是 Basic、Digest 和 Fortezza。

有關如何在 Windows Server 2003 中配置 IIS 網站身份驗證的詳細信息，請參閱 如何在 Windows Server 2003 中配置 IIS 網站身份驗證。