集成 Windows 身份驗證(以前稱為 NTLM 或 Windows NT 質詢/回響驗證)是一種安全的驗證形式,因為在通過網路傳送用戶名和密碼之前,先將它們進行哈希計算。當啟用集成 Windows 身份驗證時,用戶的瀏覽器通過與 Web 伺服器進行密碼交換(包括哈希)來證明其知曉密碼。集成 Windows 身份驗證是 Windows Server 2003 家族成員中使用的默認驗證方法。
產生背景,驗證過程,配置集成,啟用集成,
產生背景
集成 Windows 身份驗證使用 Kerberos v5 驗證和 NTLM 驗證。如果在 Windows 2000 或更高版本域控制器上安裝了 Active Directory 服務,並且用戶的瀏覽器支持Kerberosv5驗證協定,則使用 Kerberos v5 驗證,否則使用 NTLM 驗證。
集成 Windows 身份驗證包括 Negotiate、Kerberos 和 NTLM 驗證方法。Negotiate(Kerberos 和 NTLM 的包裝)非常適用於連線 Internet 上的客戶端,因為這兩種驗證方法均缺少某個功能(如下所示):
要成功地進行 Kerberos v5 驗證,客戶端和伺服器都必須可靠地連線到密鑰分配中心 (KDC),並且必須與 Active Directory 服務兼容。
驗證過程
以下步驟概述了如何使用集成 Windows 身份驗證對客戶端進行身份驗證:
- 與基本身份驗證不同,集成 Windows 身份驗證開始時並不提示用戶輸入用戶名和密碼。客戶機上的當前 Windows 用戶信息可用於集成 Windows 身份驗證。
注意 如有必要,可以將 Microsoft Internet Explorer 4.0 及更高版本配置為在開始時提示輸入用戶信息。有關詳細信息,請參閱 Internet Explorer 幫助。 - 如果開始時的驗證交換無法識別用戶,則瀏覽器提示用戶輸入 Windows 帳戶用戶名和密碼,並使用集成 Windows 身份驗證進行處理。
- Internet Explorer 將繼續提示用戶,直到用戶輸入有效的用戶名和密碼或關閉提示對話框為止。
儘管集成 Windows 身份驗證非常安全,但它仍然有兩個限制:
- 只有 Microsoft Internet Explorer 2.0 和更高版本才支持這種驗證方法。
- 它不能用於 HTTP 代理連線。
因此,集成 Windows 身份驗證最適用於 Intranet 環境,在其中用戶和 Web 伺服器計算機位於相同的域中,並且管理員可以確保每個用戶使用 Internet Explorer 2.0 或更高版本。如果集成 Windows 身份驗證由於用戶憑據錯誤或其他問題而失敗,則瀏覽器就會提示用戶輸入用戶名和密碼。
集成 Windows 身份驗證使用 Kerberos。在 Kerberos 身份驗證服務對某個服務進行驗證之前,該服務只能在一個帳戶對象上註冊。如果服務實例的登錄帳戶發生變化,則該服務必須使用新帳戶重新註冊。因此,只有一個註冊了該服務的應用程式池可以使用 Kerberos 進行驗證。因此,在應用程式池的虛擬目錄級別上,不能將站點彼此隔離。但是,有一個解決辦法。客戶可以基於域名來隔離這些站點。例如,CompanynameHR.com 和 CompanynameSales.com。
配置集成
要點 您必須是本地計算機上 Administrators 組的成員或者您必須被委派相應的許可權才能執行下列步驟。作為安全性的最佳操作,請使用不屬於 Administrators 組的帳戶登錄到計算機,然後使用運行方式命令來以管理員身份運行 IIs管理器。在命令提示符下,鍵入 runas /user:administrative_accountname"mmc %systemroot%\system32\inetsrv\iis.msc"。
啟用集成
在 IIS 管理器中,右鍵單擊“網站”資料夾、網站、目錄、虛擬目錄或檔案,然後單擊“屬性”。
注意 所有網站均能繼承在網站資料夾級別設定的配置設定。
- 單擊“目錄安全性”或“檔案安全性”選項卡,具體情況取決於所配置的安全設定級別。
- 在“身份驗證和訪問控制”部分中,單擊“編輯”。
- 在“用戶訪問需經過身份驗證”部分中,選中“集成 Windows 身份驗證”複選框。
- 單擊“確定”兩次。
