一、身份驗(yàn)證方法
注意:使用下列某些身份驗(yàn)證方法時�,您必須使用已用 NTFS 文件系統(tǒng)格式化的驅(qū)動器�����,因?yàn)?NTFS 格式化的驅(qū)動器的安全級別最高����。
IIS 支持以下幾種 Web 身份驗(yàn)證方法���。
1�、匿名身份驗(yàn)證
IIS 創(chuàng)建 IUSR_ComputerName 帳戶(其中 ComputerName 是正在運(yùn)行 IIS 的服務(wù)器的名稱),用來在匿名用戶請求 Web 內(nèi)容時對他們進(jìn)行身份驗(yàn)證。此帳戶授予用戶本地登錄權(quán)限��。您可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶��。
注意:您可以為不同的網(wǎng)站�、虛擬目錄��、物理目錄和文件建立不同的匿名帳戶���。
如果基于 Windows Server 2003 的計算機(jī)是獨(dú)立服務(wù)器�����,則 IUSR_ComputerName 帳戶位于本地服務(wù)器上。如果該服務(wù)器是域控制器,則 IUSR_ComputerName 帳戶是針對該域定義的�����。
2�����、基本身份驗(yàn)證
使用基本身份驗(yàn)證可限制對 NTFS 格式的 Web 服務(wù)器上文件的訪問。使用基本身份驗(yàn)證,用戶必須輸入憑據(jù)�,而且訪問是基于用戶 ID 的�。用戶 ID 和密碼都以明文形式在網(wǎng)絡(luò)間進(jìn)行發(fā)送�����。
要使用基本身份驗(yàn)證�,請授予每個用戶進(jìn)行本地登錄的權(quán)限����,為了使管理更加容易,請將每個用戶都添加到可以訪問所需文件的組中����。
注意:因?yàn)橛脩魬{據(jù)是使用 Base64 編碼技術(shù)編碼的�����,但它們在通過網(wǎng)絡(luò)傳輸時不經(jīng)過加密,所以基本身份驗(yàn)證被認(rèn)為是一種不安全的身份驗(yàn)證方式�����。
3�����、Windows 集成身份驗(yàn)證
Windows 集成身份驗(yàn)證比基本身份驗(yàn)證安全����,而且在用戶具有 Windows 域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成 Windows 身份驗(yàn)證中,瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù),如果此嘗試失敗�����,就會提示該用戶輸入用戶名和密碼����。如果您使用集成 Windows 身份驗(yàn)證�����,則用戶的密碼將不傳送到服務(wù)器����。如果用戶作為域用戶登錄到本地計算機(jī)�,則此用戶在訪問該域中的網(wǎng)絡(luò)計算機(jī)時不必再次進(jìn)行身份驗(yàn)證。請注意����,如果您使用的是 Windows 集成身份驗(yàn)證�,則必須使用 Microsoft Internet Explorer 2.0 或更高版本作為 Web 瀏覽器�。
注意:您不能通過代理服務(wù)器使用集成 Windows 身份驗(yàn)證。
4��、摘要式身份驗(yàn)證
摘要式身份驗(yàn)證克服了基本身份驗(yàn)證的許多缺點(diǎn)����。在使用摘要式身份驗(yàn)證時,密碼不是以明文形式發(fā)送的�����。另外���,您可以通過代理服務(wù)器使用摘要式身份驗(yàn)證����。摘要式身份驗(yàn)證使用一種質(zhì)詢/響應(yīng)機(jī)制(集成 Windows 身份驗(yàn)證使用的機(jī)制),其中的密碼是以加密形式發(fā)送的�。要使用摘要式身份驗(yàn)證,請注意下列要求:
用戶和 IIS 服務(wù)器必須是同一個域的成員或被同一個域信任����。
用戶必須有一個存儲在域控制器上 Active Directory 中的有效 Windows 用戶帳戶�。
該域必須使用 Microsoft Windows 2000 或更高版本的域控制器����。
必須將 IISSuba.dll 文件安裝到域控制器上。此文件會在 Windows 2000 或 Windows Server 2003 的安裝過程中自動復(fù)制。
必須將所有用戶帳戶配置為選擇“使用可逆的加密保存密碼”帳戶選項(xiàng)�。要選擇此帳戶選項(xiàng)�,必須重置或重新輸入密碼����。
注意:如果您使用的是摘要式身份驗(yàn)證,則必須使用 Microsoft Internet Explorer 5.0 或更高版本作為您的 Web 瀏覽器。
5�、.NET Passport 身份驗(yàn)證
Microsoft .NET Passport 是一項(xiàng)用戶身份驗(yàn)證服務(wù)��,它允許單一簽入安全性,可使用戶在訪問啟用了 .NET Passport 的網(wǎng)站和服務(wù)時更加安全。啟用了 .NET Passport 的站點(diǎn)依靠 .NET Passport 中央服務(wù)器來對用戶進(jìn)行身份驗(yàn)證���。但是,該中央服務(wù)器不會授權(quán)或拒絕特定用戶對各個啟用了 .NET Passport 的站點(diǎn)進(jìn)行訪問?����?刂朴脩舻臋?quán)限由網(wǎng)站負(fù)責(zé)�����。選擇此選項(xiàng)時����,對 IIS 的請求必須在查詢字符串或 Cookie 中包含有效的 .NET Passport 憑據(jù)�����。如果 IIS 不檢測 .NET Passport 憑據(jù)�,這些請求就會被重定向到 .NET Passport 登錄頁�����。
6����、客戶證書映射
客戶證書映射是一種在證書和用戶帳戶之間創(chuàng)建映射的方法��。在此模型中�,用戶提供一個證書�,系統(tǒng)檢查此映射以確定應(yīng)登錄到哪個用戶帳戶。您可以使用以下兩種方法之一將證書映射到 Windows 用戶帳戶:
通過使用 Active Directory。
- 或者 -
通過使用 IIS 中定義的規(guī)則��。
有關(guān)如何將客戶證書映射到用戶帳戶的其他信息��,請?jiān)?IIS 文檔中搜索“客戶證書映射”���。如果安裝了 IIS�,則可以通過下列方式之一訪問幫助文件:
右鍵單擊 Internet 服務(wù)管理器中的任一節(jié)點(diǎn)�,然后單擊“幫助”。
- 或者 -
啟動 Windows 資源管理器����,找到 hard disk:/Windows/Help 文件夾����,然后打開 Lismmc.chm��。
您可以配置各種身份驗(yàn)證方法����,以便控制對 IIS 服務(wù)器中以下項(xiàng)目的訪問:
1�����、IIS 服務(wù)器上托管的所有 Web 內(nèi)容。
2��、IIS 服務(wù)器上托管的各個網(wǎng)站���。
3�����、網(wǎng)站中的各個虛擬目錄或物理目錄�。
4��、網(wǎng)站中的各個網(wǎng)頁或文件���。
