IIS问题专区

锐一网络为您解答服务器的疑难杂症

服务热线:400-920-4021

IIS7.5身份验证的管理维护
6382017-11-16

身份验证是指为了达到安个性的目的,用户或计算机证明自己身份的过程。IIS提供许多方法来保证内容的安全性,最熟悉的方法是通过注册或输入用户名和密码。当使用IIS时,身份验证的设置和选项决定用户如何通过提供他们的证那来访问存储在Web服务器上的内容。

默认情况下,存储在新的网站、Web应用程序和虚拟目录中的内容将允许匿名的用户访问,这意味着用户将不需要提供任何身份验证信息就可以获取数据。

对于许多类型的Web服务器,用户不需要提供身份验证信息就可以访问默认网页或一些内容。当使用默认选项安装了“Web服务器(IIS)”角色,Default Web Site及其相关的Web内容的身份验证就启用了。匿名身份验证旨在为可以连接到Web服务器的所有用户提供对可用内容的访问。

当IIS接收到一个对内容的清求,它会自动地使用特定的标识以试图完成该请求。默认情况下,匿名身份验证使用内置的IUSR账户,“只要该用户账户具有访问内存的权限,请求将会自动被处理。

匿名身份验证

也可以使用“设置”命令为其他的账户提供用户名和密码。当希望对不回的Web内容使用不同的NTFS权限时,它将派上用场。另外,还可以选择使用“应用程序池标识”,该设置指示使用网站或Web应用程序所使用的应用程序池的凭据。

如果Web服务器上的个部内容对于所有用户都是可用的,那么就不需要进一步的身份验证配置.如果为匿名身份验证选项所配置的凭据不足以访问内容,它就不会自动地返回给用户。通常,需要使用其他可用的身份验证方法中的一个,以便授权用户可以访问内容。

Web开发人员通常所采用的一种安全手段是使用标准的HTTP表单来传递登录信息。

Forms身份验证使用HTTP302(登录/重定向)响应将用户重定向至登录页面。通常,登录页而会要求用户输入登录名及密码,当这些信息被提交到登录页血后,将被验证。若凭据被接受,用户将被重定向至他们最初请求的内容,默认情况下,表单提交以未加密的格式发送数据。为了保证登录信息传送过程的安全性,需要使用SSL或TLS进行加密。

Forms身份验证是Internet中最常使用的方法,因为它不需要任何指定的Web浏览器。Web开发人员通常都会创建他们自己的登录页面,通常根据存储在相关数据库中的用户账户信息或Active Directory目录服务域来对登录信息进行验证。

Forms身份验证的默认设置旨在为ASP.NETWeb应用程序提供服务。可以编辑Forms身份验证的设置来管理一些设置。其中主要的设置是“登录URL”,它用来指明网页的名称,当用户试图访问受保护的内容时他们将被发送至该网页一旦用户提供了身份验证信息,在每次请求过程中cookie都会由Web浏览器发送至Web服务器,这使客户端能够证明它已经通过Web服务器的身份验证,由于HTTP是无状态的协议,所以这是必需的。

Forms身份验证

“Cookie设置”部分用于配置站点将如何使用cookie。“模式”选项包括:不使用Cookies、使用Cookies、自动检测、使用设备配置文件,最适当的选项应根据Web浏览器的需要及Web应用程序或Web内容的需要确定。

对于使用文件系统权限以试图访问受保护的Web内容的用户,IIS提供三种安全性质询的方法。每一种方法都是基于发送HTTP401质询--提示用户提供登录信息的标准方法。这三种身份验证的方法如下:

①基本身份验证:通过所有Web浏览器所支持的标准方法为Web用户提供一个身份验证质询。基本身份验证的主要缺点是用户所提供的信息只进行编码而不被加密,这就 意味着一旦信息被拦截,登录和密码的信息可以被轻松获取。为了安全地传输基本身份验证信息,要么确保网络连接是安全的,要么使用SSL或TLSitii加密。

②摘要式身份验证:基于HTTP1.1协议,它提供一种传输登录凭据的安全方法。它通过Windows域控制器来认证用户。它的一个潜在的缺点是需要用户的Web浏览器支持HTTP1.1。目前最流行的浏览器版本都支持该方法,因此在互联网和内联网环境中可以使用摘要式身份验证。

③Windows身份验证:它提供一个安个的且易于管理的身份验证选项。它基于NTLM或Kerberos身份验证协议,根据Windows域或本地安全数据厍来验证用户的凭据。 Windows身份验证主要是为了在内联网环境中使用,用户和Web服务器均属于同一个域。为了简化管理,管理员可以使用Active Directory域账户来控制对内容的访问。

使用何种身份验证方法的一个重要的考虑因索是它们与匿名身份验证之间的关系。如果需要用户在访问Web内容之前提供登录信息,必须禁用的名身份验证。如果匿名身份验证保持启用,内容就不会受到文件系统权限的保护,不需要经过身份验证它将自动地可以被用户使用。另一个需要注意的问题是,不能为相同的内容同时启用Forms身份验证和基于质询的身份验证。

“模拟”是一种处理IISWeb请求的安全性方法,它使用特定的用户账户或正在访问站点的用户所提供的安全信息。当ASP.NET模拟被禁用时,处理请求的安全上下文依赖于Web应用程序所使用的账户。当启用模拟时,可以指定一个用户账户以确定安全上下文。单击“设置”按钮,提供用户名和密码信息。

“模拟”是一种处理IISWeb请求的安全性方法

另一个选项是为“已通过身份验证的用户”配置ASP.NET模拟。该设置指定已经通过身份验证的用户的安全性权限将被用来提供对内容的访问。当希望使用文件系统权限以使特定的用户和用户组来决定哪些内容是应当受到保护的,该设置会起到帮助作用。这种使用最好是应用于支持相对较少用户数量的环境。

除了其他可用的身份验证选项之外,IIS支持使用客户端证书来验证Web用户的身份。该方法需要用户在他们的计算机上安装安全证书。当产生了一个访问受保护内容的请求时,IIS会自动查询证书信息以验证客户端的身份。主要有三种使用客户端证书的模式:

①一对一映射:在该配置中,Web服务器必须包含一份客户端证书,任何需要访问受限内容的计算机都用到它。服务器将它的这份证那与客户端为了验证请求所提供的证书进行比较。

②多对一映射:通常为服务器上所有可能的Web用户管理证书是不现实的。虽然多对一映射的安全性略低,但是它是基于Web服务器身份验证的,并且使用客户端证书 中的某些信息。

③Active Directory映射:Active Directory证书服务可以简化客户端证书的创建和管理。为了使用该方法,公司必须首先建立他们自己的基于证书的基础架构。

由于客户端证书身份验证的证书需求,该方法在系统管理员控制终端用户的计算机的环境中是最常用的。为可公共访问的Internet网站和应用程序获取证书是不现实的。

处理程序和模块管理IIS的身份验证。Web服务器使用的特定身份验证选项基于己经安装的WebServer角色服务,包括:基本身份验证、Windows身份验证、摘要式身份验证、客户端证书映射身份验证。

为了添加或删除与安全性相关的角色服务,可以打开服务器管理器,展开“角色”节点,右键单击“Web服务器”,然后选择“添加角色服务”或“除角色服务”。因为角色服务将影响整个Web服务器的可用的身份验证选项,所以需要确定服务器上所有Web应用程序和Web内容的需求。除了角色服务的设置,每种身份验证的方法都有特定的模块需求。

IIS支持使用Web对象结构来定义配置,可以为对象配置身份验证的级别有:Web服务器、网站、Web应用程序、虚拟目录、物理文件夹和个别文件。

在较高级别定义的身份验证设置将会自动应用到较低级别的对象。对于多个网站、Web应用程序及它们的相关内容,该方法使得管理设置更加容易。

为了使用IIS管理器配置身份验证,在左侧窗格中选择适当的对象,然后在功能视图中双击“身份验证”。

IIS管理器配置身份验证

以响应类型进行分组,默认设置显示了可用身份验证选项的完整列表。选择列表中的某一项并选择“操作”窗格中的“启用”或“禁用”命令,可以将每种方法启用或禁用。除此之外,一些身份验证选项为管理设置提供了附加的命令。默认情况下,当启用或禁用一个身份验证选项时,该设置将会应用到IIS结构层次中所有较低级别的对象和内容.可以在低级别启用或禁用具体的身份验证方法来覆盖这些设置。

IIS7.5,管理维护,身份验证

机房介绍

关注我们

关于我们

  • 400热线:400-920-4021
  • 电话:0755-33076677
  • 邮箱:info@a166.com
  • 地址:深圳市福田区彩莲路天隆大厦1507

产品销售

    值班服务

    • 值班 锐一在线客服

    售后服务

    • 售后 锐一售后客服
    • 售后 锐一售后客服
    • 售后 锐一售后客服

    增值服务

    • 证书 SSL
    收缩