4.3.1. 客户端IE申请页面... 18
4.3.2. 服务端返回无授权回应... 18
4.3.3. 客户端选择NTLM验证,请求质询码... 19
4.3.4. 服务器返回质询码... 19
4.3.5. 客户端发送用登陆本机的账户加密后的质询码... 19
4.3.6. 服务端返回无授权回应... 20
4.3.7. 客户端及选选择NTLM验证,要求输入用户名和口令,再次请求质询码... 20
4.3.8. 服务端返回质询码... 20
4.3.9. 客户端发送使用前面输入账户的密码加密后的质询码... 20
4.3.10. 服务端验证通过,返回资源... 21
4.4. 客户端用机器名访问服务器,客户端用户以客户端本地用户登录,用户名/口令跟服务器账户匹配 21
4.4.1. 客户端IE申请页面... 21
4.4.2. 服务端返回无授权回应... 22
4.4.3. 客户端选择NTLM验证,请求质询码... 22
4.4.4. 服务器返回质询码... 22
4.4.5. 客户端发送用登陆本机的账户加密后的质询码... 22
4.4.6. 服务端验证通过,返回资源... 23
5、 集成验证总结... 23
5.1. 客户端以ip地址访问服务器... 23
5.2. 服务器在域,客户端以域帐号登陆... 24
5.3. 其他情况IE都选择采用NTLM验证方式。... 24
四、 基本身份验证.... 24
1、 客户端IE申请页面... 24
2、 服务端返回无授权回应,并告知客户端要求基本身份验证... 24
3、 客户端弹出对话框要求输入用户名和密码... 25
4、 服务端验证通过,返回资源... 25
一、 IIS的身份验证概述
IIS具有身份验证功能,可以有以下几种验证方式:
1、 匿名访问
这种方式不验证访问用户的身份,客户端不需要提供任何身份验证的凭据,服务端把这样的访问作为匿名的访问,并把这样的访问用户都映射到一个服务端的账户,一般为IUSER_MACHINE这个用户,可以修改映射到的用户:
2、 集成windows身份验证
这种验证方式里面也分为两种情况
2.1.
NTLM
验证
这种验证方式需要把用户的用户名和密码传送到服务端,服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送,但是密码经过处理后派生出一个8字节的key加密质询码后传送。
2.2.
Kerberos
验证
这种验证方式只把客户端访问IIS的验证票发送到IIS服务器,IIS收到这个票据就能确定客户端的身份,不需要传送用户的密码。需要kerberos验证的用户一定是域用户。
每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票(TGT)作为这个用户访问其他服务所要验证票的凭证(这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能),而访问IIS服务器的验证票是通过此用户的票据授权票(TGT)向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。
