Главная » Linux

Iss проверка подлинности windows

Содержание
  1. IIS Встроенная проверка подлинности
  2. IIS — Включение и конфигурирование проверки подлинности
  3. Включение проверки подлинности
  4. Чтобы включить метод проверки подлинности для WWW
  5. Чтобы включить метод проверки подлинности для FTP
  6. Конфигурирование анонимной проверки подлинности
  7. Чтобы изменить учетную запись, используемую для анонимной проверки подлинности
  8. Конфигурирование обычной проверки подлинности
  9. Конфигурирование краткой проверки подлинности
  10. Конфигурирование встроенной проверки подлинности Windows
  11. IIS — О проверке подлинности
  12. Методы для WWW
  13. Методы для FTP
  14. Анонимная проверка подлинности
  15. Обычная проверка подлинности
  16. Краткая проверка подлинности
  17. Встроенная проверка подлинности
  18. Проверка подлинности по сертификату
  19. Сопоставление сертификатов клиента
  20. Проверка подлинности для FTP
  21. Анонимная проверка подлинности для FTP
  22. Обычная проверка подлинности для FTP

IIS Встроенная проверка подлинности

Цитирую:
«Встроенная проверка подлинности в IIS проходит следующим образом:
— В отличие от обычной проверки подлинности, пользователю не предлагают ввести имя пользователя и пароль. Текущая информация о пользователе Windows на компьютере клиента используется для встроенной проверки подлинности.
— Однако если при начальном обмене идентифицировать пользователя не удается, Internet Explorer приглашает пользователя ввести имя пользователя и пароль учетной записи Windows, которые обрабатываются с помощью встроенной проверки подлинности.
Internet Explorer будет повторять приглашение, пока не будет введена правильная комбинация имени пользователя и пароля, или диалоговое окно не будет закрыто.»

А можно как то это окно ввода логина/пароля запретить, чтобы если идентифицировать пользователя не удалось, он не смог авторизоваться? Может как то через групповые политики?

Проверка подлинности windows
Приветствую. На сайте есть внутренний раздел, доступ к которому ограничен (используется проверка.

Заставить установщик YetAnotherForum использовать IIS, а не IIS Express
устанавливаю скаченный из сайта майкрософта YetAnotherForumNET.exe установился установщик веб.

Проверка подлинности.
Случайно вместе с обновлениями установил проверку подлинности Office2007. У меня win7. Может.

Проверка подлинности
Подскажите как можно отключить проверку подл. на винде 7 32 бит?

В службе безопасности снять галочку «Встроенная проверка подлинности windows».

Если при запросе index.htm выдается «У вас отсутствуют разрешения на просмотр этой страницы», то это значит, что у файла отсутствует пользователь IUSR_.

не новичок в Windows, но если честно первый раз слышу о службе безопасности.
можно поподробнее?

PS: использую MS Win Server 2003
PPS: в дополнение к вопросу — манипуляции на клиентcком ПК не предлагать

IIS — Включение и конфигурирование проверки подлинности

Данный раздел содержит обобщенную процедуру включения проверки подлинности и более подробные сведения о конфигурировании анонимного, обычного, краткого и встроенного методов проверки подлинности. В нем приведены требования, налагаемые используемым методом, вопросы, связанные с конфигурацией и т.п. Если вы не знакомы с этими методами проверки подлинности, то перед тем, как приступать к включению и настройке проверки подлинности на сервере, прочитайте их описание. Дополнительные сведения об этих методах см. в разделе О проверке подлинности.

Включение проверки подлинности

Любой метод проверки подлинности или их комбинация могут быть включены для любого веб- или FTP-узла, виртуального каталога или файла.

Чтобы включить метод проверки подлинности для WWW

  1. Создайте учетную запись пользователя, соответствующую методу проверки подлинности. Если целесообразно, добавьте учетную запись в группу пользователей Windows. Более подробные сведения о создании учетных записей Windows см. в разделе Защита файлов средствами NTFS.
  2. Сконфигурируйте разрешения NTFS для каталога или файла, доступом к которым необходимо управлять. Дополнительные сведения см. в разделе Задание разрешений NTFS для каталога или файла.
  3. В оснастке IIS выберите веб-узел, каталог или файл и откройте вкладки его свойств.
  4. Выберите соответствующую вкладку: Безопасность файла или Безопасность каталога. В группе Анонимный доступ и проверка подлинности нажмите кнопку Изменить.
  5. В диалоговом окне Способы проверки подлинности выберите один или несколько способов.

Чтобы включить метод проверки подлинности для FTP

  1. Выполните шаги 1-3 процедуры, описанной выше.
  2. Выберите вкладку Безопасные учетные записи. Установите флажок Разрешить анонимные подключения.

Примечание. Для FTP проверка подлинности может быть установлена только на уровне узла.

  • В поля Пользователь и Пароль введите имя и пароль для анонимного входа. Имя пользователя — это учетная запись анонимного пользователя. Обычно имя пользователя задается в виде IUSR_ИмяКомпьютера. Если флажок Разрешить управление паролем из IIS установлен, то чтобы изменить пароль, нужно сбросить его.
  • Установите флажок Разрешить управление паролем из IIS для согласования паролей с учетными записями пользователей Windows.

    Примечание. Синхронизацию паролей можно использовать только для учетных записей анонимных пользователей, которые определены на локальном компьютере, но не для анонимных учетных записей на других компьютерах в сети.

  • Чтобы все пользователи подключались как анонимные, установите флажок Разрешить только анонимные подключения.
  • Нажмите кнопку OK.
  • Установите соответствующие разрешения NTFS для анонимной учетной записи. Дополнительные сведения см. в разделе Задание разрешений NTFS для каталога или файла.

    • Примечание

    • Анонимная и встроенная проверка подлинности Windows выбраны по умолчанию.
    • И краткая, и встроенная проверка подлинности имеют приоритет перед обычной проверкой. Чтобы гарантировать проверку подлинности всех пользователей только обычной проверкой, сбросьте все остальные флажки.
    • Краткая и встроенная проверки подлинности не могут быть использованы для узлов FTP.

    Веб-сервер будет использовать обычную, краткую и встроенную проверку подлинности только при выполнении следующих условий:

    • Анонимный доступ не разрешен.
    • Попытка анонимного доступа оказалась неудачной или доступ к файлам и каталогам ограничен разрешениями NTFS.

    Важно! При попытке изменить свойства веб-узла или виртуального каталога, веб-сервер запросит разрешение сбросить свойства отдельных подкаталогов или файлов, расположенных на этом узле или в каталоге. Если такое подтверждение получено, предыдущие значения свойств будут заменены новыми. Дополнительные сведения о настройке свойств см. в разделе «Свойства и наследование свойств на узлах» раздела О веб- и FTP-узлах.

    Конфигурирование анонимной проверки подлинности

    По умолчанию пользователь IUSR_ИмяКомпьютера включается Windows в группу пользователей «Гости». Может быть создано несколько учетных записей анонимных пользователей, по одной на каждый веб- или FTP-узел, каталог или файл. Предоставляя этим учетным записям различные права на доступ или назначая эти учетные записи разным группам пользователей, можно предоставить анонимным пользователям доступ к различным областям веб- и FTP-узлов.

    Учетная запись анонимного пользователя должна давать пользователю права локального подключения. Если учетная запись не имеет права «Локальный вход в систему», IIS не сможет обслуживать никакие анонимные запросы. В контроллерах домена учетная запись IUSR_ИмяКомпьютера по умолчанию не имеет права «Локальный вход в систему»; чтобы разрешить анонимные подключения, ей нужно предоставить его.

    Читайте также:  После переустановки windows исчез звук

    Можно также изменить привилегии безопасности для учетной записи IUSR_Имя_компьютера в Windows. Однако если учетная запись анонимного пользователя не дает права доступа к определенному ресурсу, веб-сервер не установит анонимное соединение с этим ресурсом. Дополнительные сведения см. в разделе Задание разрешений для веб-сервера.

    Чтобы изменить учетную запись, используемую для анонимной проверки подлинности

    1. В оснастке IIS выберите веб-узел, каталог или файл и откройте вкладки его свойств.
    2. Выберите соответствующую вкладку: Безопасность файла или Безопасность каталога. В группе Анонимный доступ и проверка подлинности нажмите кнопку Изменить.
    3. В диалоговом окне Способы проверки подлинности в группе Анонимный доступ нажмите кнопку Изменить.
    4. В диалоговом окне Учетная запись анонимного пользователя либо введите действительную учетную запись пользователя Windows, которую нужно использовать для анонимного доступа, либо выберите ее с помощью кнопки Обзор.
    5. Сбросьте флажок Разрешить управление паролем из IIS, чтобы ввести пароль этой учетной записи.

    Важно! Если изменить учетную запись IUSR_ИмяКомпьютера, изменения коснутся каждого анонимного запроса, который обслуживается веб-сервером. Будьте внимательны при изменении этой учетной записи.

    Конфигурирование обычной проверки подлинности

    Включение обычной проверки подлинности не приводит к автоматическому включению проверки подлинности пользователей на веб-сервере. Должны быть созданы учетные записи пользователей Windows и установлены разрешения NTFS (как это описано выше).

    Чтобы правильно проверять подлинность пользователей обычным методом, учетные записи пользователей Windows, используемые для обычной проверки подлинности, должны иметь право «Локальный вход в систему». Это право должно быть назначено, поскольку обычная проверка подлинности имитирует локального пользователя (то есть, пользователя, который физически подключен к серверу). По умолчанию учетным записям пользователей на основном контроллере домена Windows (PDC) не предоставляется право локального входа в систему.

    Примечание. Требования для права локального входа в систему могут быть изменены с помощью Active Directory Service Interfaces (ADSI). Для получения дополнительной информации см. раздел LogonMethod в руководстве по Active Server Pages.

    Необходимо установить стандартный домен для входа. Дополнительные сведения см. в разделе Задание стандартного домена для входа.

    Внимание! Обычный метод проверки подлинности передает имена пользователей и пароли по сети в незашифрованном виде. Компьютерные взломщики могут использовать средства слежения за сетью для перехвата этой информации. В сочетании с обычной проверкой подлинности можно использовать возможности шифрования веб-сервера, чтобы обезопасить учетную информацию пользователя при передаче по сети. Дополнительные сведения см. в разделе О шифровании.

    Конфигурирование краткой проверки подлинности

    Microsoft Internet Explorer версии 5 является единственным обозревателем, поддерживающим в настоящее время краткую проверку подлинности.

    Краткая проверка подлинности будет функционировать только на доменах, контроллеры которых управляются операционной системой Windows 2000. Контроллер домена должен иметь копии используемых паролей в виде обычного текста, поскольку он должен выполнить операцию хэширования и сравнить результат со значением хэша, переданного обозревателем на компьютере пользователя. Дополнительные сведения о хранении этих паролей и по другим вопросам см. в документации Windows 2000 Server.

    Важно! Поскольку контроллер домена хранит копии паролей в виде обычного текста, он должен быть защищен от физической и сетевой атак. Для получения более подробной информации о защите контроллера домена см. пакет Microsoft Windows 2000 Server Resource Kit.

    Конфигурирование встроенной проверки подлинности Windows

    Встроенная проверка подлинности Windows не работает через прокси-серверы и другие брандмауэры.

    Если встроенная проверка подлинности Windows закончилась неудачей из-за неверных учетных сведений или других проблем, обозреватель предложит пользователю ввести имя и пароль.

    Только обозреватель Microsoft Internet Explorer версии 2.0 или более поздней поддерживает встроенную проверку подлинности.

    IIS — О проверке подлинности

    Перед предоставлением доступа к информации на сервере можно потребовать от пользователя ввести действительную учетную запись пользователя Windows и пароль. Этот процесс идентификации часто называют проверкой подлинности. Проверка подлинности, как и большинство возможностей IIS, может быть установлена на уровне веб-узла, каталога или файла. IIS предлагает следующие способы проверки подлинности для управления доступом к содержимому сервера:

    Методы для WWW

    Методы для FTP

    Для получения дополнительной информации об установке проверки подлинности см. раздел Включение и конфигурирование проверки подлинности.

    Обзор методов проверки подлинности

    Метод Уровень безопасности Требования к серверу Требования к клиенту Примечания
    Анонимная Отсутствует Учетная запись IUSR_ИмяКомпьютера Любой обозреватель Используется для общих областей узлов Интернета.
    Обычная Низкий Действительные учетные записи Вводит имя пользователя и пароль Пароль передается незашифрованным.
    Краткая Высокий Все пароли в виде неформатированного текста. Действительные учетные записи. Совместимость Применима при работе через прокси-серверы и другие брандмауэры.
    Встроенная Windows Высокий Действительные учетные записи Поддержка обозревателя Используется в личных областях внутренних сетей.
    Сертификаты Высокий Получение сертификатов сервера. Настройка списка доверенных сертификатов (CTL) (только при первом использовании). Поддержка обозревателя Широко используется для обеспечения безопасности транзакций через Интернет.
    Анонимная FTP Отсутствует Учетная запись IUSR_ИмяКомпьютера Отсутствует Используется для общих областей узлов FTP.
    Основная FTP Низкий Действительные учетные записи Вводит имя пользователя и пароль Пароль передается незашифрованным.

    Анонимная проверка подлинности

    Анонимная проверка подлинности дает пользователям доступ к общим областям веб- или FTP-узлов без запроса имени пользователя или пароля. Когда пользователь пытается присоединиться к общему веб- или FTP-узлу, веб-сервер назначает пользователю учетную запись IUSR_ИмяКомпьютера, где ИмяКомпьютера — это имя сервера, на котором запущен IIS.

    По умолчанию пользователь IUSR_ИмяКомпьютера включается Windows в группу пользователей Guests. Эта группа имеет ограничения по безопасности, налагаемые разрешениями NTFS, которые устанавливают уровень доступа и тип содержимого, доступные обычным пользователям.

    Если на сервере размещено несколько узлов или на узле имеется ряд областей, требующих различных прав доступа, можно создать несколько анонимных учетных записей (по одной на каждый веб- или FTP-узел, каталог или файл). Предоставляя этим учетным записям различные права на доступ или назначая эти учетные записи разным группам пользователей, можно предоставить анонимным пользователям доступ к различным областям веб- и FTP-узлов.

    IIS использует учетную запись IUSR_ИмяКомпьютера следующим образом:

    1. Учетная запись IUSR_ИмяКомпьютера добавляется в группу пользователей Guests.
    2. Когда запрос получен, IIS исполняет роль пользователя с учетной записью IUSR_ИмяКомпьютера перед выполнением любой программы или доступом к любому файлу. IIS в состоянии исполнить роль пользователя IUSR_ИмяКомпьютера, поскольку и имя пользователя, и пароль известны IIS.
    3. Перед возвратом страницы клиенту IIS проверяет файл NTFS и разрешения для каталога, чтобы проверить возможность доступа к файлу для пользователя с учетной записью IUSR_ИмяКомпьютера.
    4. Если доступ разрешен, проверка подлинности завершается и ресурсы становятся доступными пользователю.
    5. Если доступ не разрешен, IIS попытается использовать другой способ проверки подлинности. Если не один из методов не выбран, IIS возвращает в обозреватель сообщение об ошибке «HTTP 403 Access Denied».
    Читайте также:  Первичный звуковой драйвер windows 10

    Примечание

    • Если анонимная проверка подлинности включена, IIS всегда будет пытаться сначала использовать ее, даже если другие методы включены.
    • В некоторых случаях обозреватель запрашивает имя пользователя и пароль.

    Учетная запись, используемая для анонимной проверки подлинности, может быть изменена в оснастке IIS на уровне служб веб-сервера или для отдельных виртуальных каталогов и файлов. Учетная запись анонимного пользователя должна давать пользователю права локального подключения. Если учетная запись не имеет разрешения «Локальный вход в систему», IIS не сможет обслуживать никакие анонимные запросы. При установке IIS учетная запись IUSR_ИмяКомпьютера получает разрешение «Локальный вход в систему». В контроллерах домена учетная запись IUSR_ИмяКомпьютера по умолчанию не включена в гостевые учетные записи. Она должна быть изменена (предоставлено разрешение «Локальный вход в систему»), чтобы разрешить анонимные подключения.

    Примечание Требования к носителю права локального входа в систему могут быть изменены с помощью Active Directory Service Interfaces (ADSI). Для получения дополнительной информации см. раздел LogonMethod в руководстве по Active Server Pages.

    Также можно изменить привилегии для учетной записи IUSR_ИмяКомпьютера в Windows с помощью оснастки-диспетчера групповой политики в MMC. Однако если учетная запись анонимного пользователя не дает права доступа к определенному файлу или ресурсу, веб-сервер не установит анонимное соединение с этим ресурсом. Дополнительные сведения см. в разделе Задание разрешений для веб-сервера.

    Важно! Если изменена учетная запись IUSR_ИмяКомпьютера, изменения коснутся каждого анонимного запроса HTTP, который обслуживается веб-сервером. Будьте внимательны при изменении этой учетной записи.

    Обычная проверка подлинности

    Обычная проверка подлинности является широко используемым стандартным методом получения сведений об имени пользователя и пароле. Обычная проверка подлинности проходит следующим образом:

    1. В веб-обозревателе пользователя открывается диалоговое окно, в которое пользователь должен ввести ранее назначенные ему имя учетной записи пользователя Windows 2000 и пароль.
    2. После этого веб-обозреватель предпринимает попытку установить подключение с использованием введенных данных. (Перед передачей через сеть пароль зашифровывается по схеме Base64).
    3. Если сервер отвергает эту информацию, веб-обозреватель продолжает отображать диалоговое окно до тех пор, пока пользователь не введет действительное имя пользователя и пароль или не закроет диалоговое окно.
    4. Веб-сервер проверяет, что имя пользователя и пароль соответствуют действительной учетной записи Windows, и устанавливает соединение.

    Для получения дополнительной информации об установке обычной проверки подлинности см. раздел Включение и конфигурирование проверки подлинности.

    Преимуществом обычной проверки подлинности является то, что она является частью спецификации HTTP и поддерживается большинством обозревателей. К недостаткам относится то, что веб-обозреватели при использовании этого метода передают пароли в незашифрованном виде. Наблюдая за передачей информации в сети, можно легко перехватить и расшифровать эти пароли с помощью общедоступных средств. Следовательно, обычный способ проверки подлинности не рекомендуется использовать, за исключением тех случаев, когда есть полная уверенность в безопасности соединения пользователя и веб-сервера (например, прямое кабельное соединение или выделенная линия). Дополнительные сведения см. в разделе Шифрование.

    Примечание Встроенная проверка подлинности имеет приоритет перед обычной проверкой подлинности. Обозреватель выберет встроенную проверку подлинности Windows и будет пытаться использовать текущую учетную информацию Windows перед тем, как запросить имя пользователя и пароль. В настоящий момент только Internet Explorer версии 2.0 и более поздней поддерживает встроенную проверку подлинности.

    Краткая проверка подлинности

    Новая возможность IIS 5.0. Краткая проверка подлинности предлагает те же возможности, что и обычная, но включает различные способы передачи информации, удостоверяющей пользователя. Сведения, подтверждающие подлинность пользователя, передаются путем однонаправленного процесса, часто называемого хэшированием. Результат этого процесса называется хэшем или выборкой сообщения. Расшифровать его практически невозможно. Иными словами, по хэшу нельзя восстановить исходный текст.

    Краткая проверка подлинности проходит следующим образом:

    1. Сервер посылает обозревателю некоторую информацию, которая будет использована при проверке подлинности.
    2. Обозреватель добавляет эту информацию к имени пользователя, паролю и некоторой другой информации и выполняет хэширование. Дополнительная информация помогает предотвратить повторное использование значения хэша посторонними лицами.
    3. Хэш передается на сервер через сеть вместе с дополнительной информацией, передаваемой открытым текстом.
    4. Сервер добавляет дополнительную информацию к паролю клиента, полученному в виде неформатированного текста, и хэширует всю информацию.
    5. Сервер сравнивает переданное значение хэша с вычисленным им.
    6. Доступ предоставляется только при полном совпадении чисел.

    Дополнительная информация добавляется к паролю перед хэшированием, поэтому никто не может перехватить хэшированный пароль и использовать его, чтобы выдать себя за настоящего клиента. Добавляемые значения помогают идентифицировать клиента, его компьютер и область, или домен, к которой принадлежит клиент. Отметка времени добавляется для предотвращения использования клиентом пароля после его аннулирования.

    Это является явным преимуществом перед обычной проверкой подлинности, при которой пароль может быть перехвачен и использован пользователем, не имеющим соответствующих полномочий. Структура краткой проверки подлинности позволяет использовать ее через прокси-серверы и другие брандмауэры. Этот способ проверки подлинности доступен для WebDAV (Web Distributed Authoring and Versioning). Поскольку краткая проверка подлинности является новой возможностью HTTP 1.1, не все обозреватели поддерживают ее. Если несовместимый обозреватель выполняет запрос к серверу, требующему краткой проверки подлинности, сервер отвергает запрос и посылает клиенту сообщение об ошибке. Краткая проверка подлинности поддерживается только доменами с контроллерами домена, управляемыми операционной системой Windows 2000.

    Важно! Краткая проверка подлинности будет завершена, если только сервер домена, к которому был сделан запрос, имеет пароль пользователя в виде неформатированного текста. Поскольку контроллер домена имеет копии паролей в виде неформатированного текста, он должен быть защищен от физической и сетевой атак. Для получения более подробной информации о защите контроллера домена см. пакет Microsoft Windows 2000 Server Resource Kit.

    Читайте также:  Самый безопасный дистрибутив linux habr

    Примечание Значение хэша состоит из небольшого количества двоичных данных, обычно не более 160 бит. Это значение получается с помощью алгоритма хэширования. Все значения хэша имеют следующие свойства, независимо от используемого алгоритма:

    • Длина хэша Длина значения хэша определяется типом используемого алгоритма и не меняется при изменении размера сообщения. Длина сообщения может составлять и несколько килобайт, и несколько гигабайт; это не скажется на длине значения хэша. Наиболее часто используется хэш длиной 128 или 160 бит.
    • Нераскрываемость Каждая пара неидентичных сообщений будет преобразована в два совершенно различных значения хэша, даже если эти два сообщения отличаются только одним битом. Используя современные технологии, невозможно обнаружить пару сообщений, которые преобразуются в одно и то же значений хэша.
    • Повторяемость При каждом хэшировании одного и того же сообщения с помощью одного алгоритма получается одно и то же значение хэша.
    • Необратимость Все алгоритмы хэширования являются однонаправленными. По заданному значению хэша, даже при известном алгоритме, невозможно восстановить исходное сообщение. Фактически, ни одно из свойств исходного сообщения не может быть определено только по значению хэша.

    Встроенная проверка подлинности

    Встроенная проверка подлинности (раньше называвшаяся NTLM или проверка подлинности «запрос/ответ») является безопасной формой проверки подлинности, поскольку имя пользователя и пароль не передаются по сети. При включенной встроенной проверке подлинности обозреватель на компьютере пользователя доказывает знание пароля через криптографический обмен с веб-сервером, используя хэширование.

    Встроенная проверка подлинности может использовать протокол проверки подлинности Kerberos v5 или собственный протокол проверки подлинности «запрос/ответ». Если Служба Каталогов установлена на сервере, а обозреватель совместим с протоколом проверки подлинности Kerberos v5, используются и протокол Kerberos v5, и протокол «запрос/ответ». В противном случае используется протокол «запрос/ответ».

    Протокол проверки подлинности Kerberos v5 является возможностью архитектуры Windows 2000 Distributed Services. Чтобы проверка подлинности по протоколу Kerberos v5 была успешной, компьютеры и клиента, и сервера должны иметь надежное соединение с Key Distribution Center (KDC) и быть совместимыми со Службой Каталогов. Для получения информации о протоколе см. документацию по Windows.

    Встроенная проверка подлинности проходит следующим образом:

      В отличие от обычной проверки подлинности, пользователю не предлагают ввести имя пользователя и пароль. Текущая информация о пользователе Windows на компьютере клиента используется для встроенной проверки подлинности.

    Примечание Internet Explorer версии 4.0 или поздней может быть сконфигурирован, чтобы запрашивать в случае необходимости информацию о пользователе. Дополнительные сведения см. в документации по Internet Explorer.

  • Однако если при начальном обмене идентифицировать пользователя не удается, Internet Explorer приглашает пользователя ввести имя пользователя и пароль учетной записи Windows, которые обрабатываются с помощью встроенной проверки подлинности.
  • Internet Explorer будет повторять приглашение, пока не будет введена правильная комбинация имени пользователя и пароля, или диалоговое окно не будет закрыто.

    • Хотя встроенная проверка подлинности безопасна, она имеет два ограничения.

    1. Только Microsoft Internet Explorer версии 2.0 или поздней поддерживает этот способ проверки подлинности.
    2. Встроенная проверка подлинности Windows не работает через прокси-соединения HTTP.

    Следовательно, встроенная проверка подлинности Windows лучше всего подходит для внутренних сетей предприятия, в которых компьютеры пользователя и веб-сервера находятся в одном домене и администратор может проверить использование на каждом компьютере Microsoft Internet Explorer версии 2.0 или более поздней.

    Проверка подлинности по сертификату

    Для двух типов проверки подлинности можно также использовать возможности защиты по протоколу SSL (Secure Sockets Layer) для веб-сервера. Можно использовать сертификат сервера для выполнения пользователями проверки подлинности сервера до передачи персональной информации, например номера кредитной карты. Также можно использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию с веб-узла. SSL проверяет подлинность по содержимому зашифрованного цифрового идентификатора, который отправляется веб-обозревателем пользователя в процессе входа в систему. (Пользователи получают сертификаты клиента от независимой организации, доверенной для обеих сторон.) Сертификаты сервера обычно содержат сведения о компании и об организации, выдавшей сертификат. Сертификаты клиентов обычно содержат подробные сведения о пользователе и об организации, выдавшей сертификат. Дополнительные сведения см. в разделе О сертификатах.

    Сопоставление сертификатов клиента

    Можно связать, или сопоставить, сертификаты клиента и учетные записи пользователя Windows на веб-сервере. После создания и включения сопоставления при каждом входе пользователя с клиентским сертификатом веб-сервер автоматически сопоставляет этого пользователя с соответствующей учетной записью Windows. Таким образом можно автоматически проверять подлинность пользователей, входящих в систему с сертификатами клиента, не требуя основной, краткой или встроенной проверки подлинности. Можно или сопоставить один сертификат клиента одной учетной записи пользователя Windows, или несколько сертификатов — одной учетной записи. Например, если на сервере присутствует несколько подразделений, каждое на своем веб-узле, можно использовать сопоставление «многие-к-одному» для установления соответствия сертификатов клиента каждого подразделения соответствующему веб-узлу. В этом случае каждый узел обеспечивает доступ только для своих клиентов. Дополнительные сведения см. в разделе Сопоставление клиентских сертификатов учетным записям пользователей.

    Проверка подлинности для FTP

    Анонимная проверка подлинности для FTP

    Сервер FTP может быть сконфигурирован, чтобы разрешать анонимный доступ к своим ресурсам. Если анонимная проверка подлинности включена, IIS всегда будет пытаться сначала использовать ее, даже если другие методы включены. Если для ресурса выбрана анонимная проверка подлинности, все запросы к этому ресурсу будут выполняться без предложения ввести имя пользователя или пароль. Это возможно, поскольку IIS автоматически создает учетную запись пользователя Windows с именем IUSR_ИмяКомпьютера, где ИмяКомпьютера — имя сервера, на котором запущен IIS. Это очень похоже на анонимную проверку подлинности для WWW. Дополнительные сведения см. в разделе Анонимная проверка подлинности.

    Обычная проверка подлинности для FTP

    Чтобы установить FTP-подключение к веб-серверу с помощью обычной проверки подлинности, пользователи должны представить при входе имя пользователя и пароль, соответствующие допустимой учетной записи Windows. Если веб-сервер не может подтвердить личность пользователя, то сервер возвращает сообщение об ошибке. Эта проверка подлинности для FTP не является безопасной, поскольку пользователь передает пароль и имя пользователя по сети в незашифрованном виде. Дополнительные сведения см. в разделе Об управлении доступом.

    Оцените статью
    © 2024 Советы по настройке компьютера