理论教育 WindowsServer2008管理与配置:身份验证

WindowsServer2008管理与配置:身份验证

时间:2023-11-25 理论教育 版权反馈
【摘要】:图10-27 身份验证IIS 7.0提供匿名身份验证、基本身份验证、摘要式身份验证、ASP.NET模拟身份验证、Forms身份验证、Windows身份验证以及AD客户证书身份验证等多种身份验证方法。启用模拟后,ASP.NET应用程序将在通过IIS 7.0身份验证的用户的安全环境中运行。

WindowsServer2008管理与配置:身份验证

在许多网站中,大部分WWW访问都是匿名的,客户端请求时不需要使用用户名和密码,只有这样才可以使所有用户都能访问该网站。但对访问有特殊要求或者安全性要求较高的网站,则需要对用户进行身份验证。利用身份验证机制,可以确定哪些用户可以访问Web应用程序,从而为这些用户提供对Web网站的访问权限。一般的身份验证请求需要输入用户名和密码来完成验证,此外也可以使用诸如访问令牌等方式进行身份验证。

可以根据网站对安全的具体要求,来选择适当的身份验证方法。设置身份验证的具体操作步骤为:打开“Internet信息服务(IIS)管理器”窗口,在“功能视图”中选择“身份验证”图标,双击并查看其设置,如图10-27所示。选中要启用或禁用的身份验证方式,使用鼠标右键单击它并在弹出的快捷菜单中选择“启用”或“禁用”命令,也可以直接单击“启用”或“禁用”按钮

978-7-111-33185-8-Part03-107.jpg

图10-27 身份验证

IIS 7.0提供匿名身份验证、基本身份验证、摘要式身份验证、ASP.NET模拟身份验证、Forms身份验证、Windows身份验证以及AD客户证书身份验证等多种身份验证方法。默认情况下,IIS 7.0支持匿名身份验证和Windows身份验证,一般在禁止匿名身份验证时,才使用其他的身份验证方法。

各种身份验证方法介绍如下。

1.匿名身份验证

通常情况下,绝大多数Web网站都允许匿名访问,即Web客户无须输入用户名和密码,即可访问Web网站。匿名访问其实也是需要身份验证的,称为匿名验证。在安装IIS时,系统会自动建立一个用来代表匿名账户的用户账户,当用户试图连接到网站时,Web服务器将连接分配给Windows用户账户IUSR_computername,此处computername是运行IIS的计算机的名称。默认情况下,IUSR_computername账户包含在Windows用户组Guests中。该组具有安全限制,由NTFS权限强制使用,指出了访问级别和可用于公共用户的内容类型。当允许匿名访问时,就向用户返回网页页面;如果禁止匿名访问,IIS将尝试使用其他验证方法。对于一般的、非敏感的企业信息发布,建议采用匿名访问方法。如果启用了匿名验证,则IIS始终尝试先使用匿名验证对用户进行验证,即使启用了其他验证方法也是如此。

2.基本身份验证

基本身份验证方法要求提供用户名和密码,提供很低级别的安全性,最适用于给需要很少保密性的信息授予访问权限。由于密码在网络上是以弱加密的形式发送的,这些密码很容易被截取,因此可以认为安全性很低。一般只有确认客户端和服务器之间的连接是安全时,才使用此种身份验证方法。基本身份验证还可以跨防火墙和代理服务器工作,所以在仅允许访问服务器上的部分内容而非全部内容时,这种身份验证方法是个不错的选择。

3.摘要式身份验证(www.daowen.com)

摘要式身份验证使用Windows域控制器来对请求访问服务器上的内容的用户进行身份验证,提供与基本身份验证相同的功能,但是摘要式身份验证在通过网络发送用户凭据方面提高了安全性。摘要式身份验证将凭据作为MD5哈希或消息摘要在网络上传送(无法从哈希中解密原始的用户名和密码)。注意:不支持HTTP1.1的任何浏览器都无法支持摘要式身份验证。

4.ASP.NET模拟身份验证

如果要在ASP.NET应用程序的非默认安全环境中运行ASP.NET应用程序,请使用ASP.NET模拟。在为ASP.NET应用程序启用模拟后,该应用程序将可以在两种环境中运行:以已通过IIS 7.0身份验证的用户身份运行,或作为设置的任意账户运行。例如,如果使用的是匿名身份验证,并选择作为已通过身份验证的用户运行ASP.NET应用程序,那么该应用程序将在为匿名用户设置的账户(通常为IUSR)下运行。同样,如果选择在任意账户下运行应用程序,则它将运行在为该账户设置的任意安全环境中。默认情况下,ASP.NET模拟处于禁用状态。启用模拟后,ASP.NET应用程序将在通过IIS 7.0身份验证的用户的安全环境中运行。

5.Forms身份验证

Forms身份验证使用客户端重定向来将未经过身份验证的用户重定向至一个HTML表单,用户可以在该表单中输入凭据,通常是用户名和密码。确认凭据有效后,系统会将用户重定向至他们最初请求的页面。由于Forms身份验证以明文形式向Web服务器发送用户名和密码,因此应当对应用程序的登录页和其他所有页使用安全套接字层(SSL)加密。该身份验证非常适用于在公共Web服务器上接收大量请求的站点或应用程序,能够使用户在应用程序级别的管理客户端注册,而无须依赖操作系统提供的身份验证机制。

6.Windows身份验证

Windows身份验证使用NTLM或Kerberos协议对客户端进行身份验证。Windows身份验证最适用于Intranet环境。Windows身份验证不适合在Internet上使用,因为该环境不需要用户凭据,也不对用户凭据进行加密。

7.AD客户证书身份验证

AD客户证书身份验证允许使用Active Directory服务功能将用户映射到客户证书,这样便进行了身份验证。将用户映射到客户证书可以自动验证用户的身份,而无须使用基本、摘要式或Windows等其他身份验证方法。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈