基本身份验证
基本身份验证类似于 MSCMS 基于窗体的身份验证,因为它是 HTTP 规范的一部分,而且多数浏览器都支持它。用户将分配给他们的 Windows 2000 帐户用户名、密码和域名输入到对话框中。管理员可能还会指定一个默认域。
在符合下面的一个或多个条件的环境中,建议采用基本身份验证:
1.用户正在从多个浏览器进行身份验证,MSCMS 基本窗体身份验证不是选项之一。
2.浏览计算机的 IP 地址使用了一个代理服务器,因而集成的 Windows 身份验证不能使用。
3.管理员想识别对站点的访问,亦即确定用户的唯一号码,而不关心经过身份验证的访问。
与基于窗体的身份验证类似,基本身份验证在用户发出初始请求时通过网络以明文形式发送用户信息;此外,以后每发送一个请求,基本身份验证都会发送用户信息。因为用户每次请求一个新页面时都会通过网络传递用户信息,所以用户信息特别容易被截取。由于这一原因,除非用户和 Web 服务器之间的连接绝对安全(例如通过专线),否则建议不要采用基本身份验证。此外,对于依赖基本身份验证的 Web 站点的任一部分,都应当采用 SSL 加密。
集成的 Windows 身份验证
与基本身份验证类似,集成的 Windows 身份验证(以前称为 NTLM 或 Windows NT 请求/响应身份验证)利用了用户的 Windows 登录信息。但是,浏览器并不提示用户将这些信息重新输入到一个对话框中,而是尝试自动检索这些信息。此过程称为自动登录。在 Intranet 环境中,默认情况下会启用这种身份验证方式,但管理员可以在 IIS 中禁用它。若要在 Intranet 环境中使用自动登录,用户必须向服务器所在的域进行身份验证,否则用户的域和服务器的域之间必须存在一种单向信任关系。
注 如果有一个外围网络(又称 DMZ、非军事区和屏蔽子网)保护 Web 环境,则不建议建立从外围网络到内部网络的信任。如果相应的端口已经打开,则可以使用防火墙之外的域。
当浏览器检索 Windows 身份验证信息之后,它会通过一个称为哈希 的单向进程将这些数据传给 Web 服务器。生成的消息摘要或“哈希”是无法解密的。如果身份验证交换最初未能识别用户,则浏览器将提示用户提供帐户名、密码和域。
尽管集成的 Windows 身份验证是最安全的身份验证选项,但它确实有一些限制:
集成的 Windows 身份验证最适合用于内联网环境;在这种环境中,用户和 Web 服务器处于同一域中,而且管理员可以确保所有经过身份验证的用户都使用 Internet Explorer。
配置 IIS 安全上下文登录
1.浏览到 C:\\Program Files\Microsoft Content Management Server\Server\IIS_NR\System\Access,然后打开文件 IISAuthentication.inc。
2.将 CF_IIS_Security_Context_Login 设置为 true。这将为整个 Web 站点启用 IIS 安全上下文。
3.进入 MMC 控制台的“Internet 信息服务”管理单元或“Internet 服务管理”,打开 IIS_NR 虚拟目录,然后单击目录安全性选项卡。
4.在匿名访问和验证控件下,单击 编辑,然后选择相应的身份验证方法。
注 您可以选择一种以上身份验证方法,但建议不要这样做。因为这意味着将由浏览器选择它希望使用的方法。如果浏览器选择“基本”,而站点又未启用 SSL 加密,则用户凭据可能会被截取。
5.若要启用自动登录,请选择集成的身份验证,并在客户端浏览器中选择您想用于自动登录的选项。
有关集成的 Windows 身份验证的更多信息,请参见 http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/iis/maintain/featusability/authmeth.asp
上一页 下一页
