IIS服務(wù)器有是微軟推出的一個(gè)強(qiáng)大的服務(wù)器,他可以實(shí)行多種用戶身份驗(yàn)證。能夠熟練的掌握IIS服務(wù)器的用戶驗(yàn)證原理就可以避免因管理員操作不當(dāng)而導(dǎo)致悲劇發(fā)生。
IIS服務(wù)器具有身份驗(yàn)證功能,可以有以下幾種驗(yàn)證方式:
·匿名訪問
這種方式不驗(yàn)證訪問用戶的身份,客戶端不需要提供任何身份驗(yàn)證的憑據(jù),服務(wù)端把這樣的訪問作為匿名的訪問,并把這樣的訪問用戶都映射到一個(gè)服務(wù)端的賬戶,一般為IUSER_MACHINE這個(gè)用戶,可以修改映射到的用戶:
·集成windows身份驗(yàn)證
這種驗(yàn)證方式里面也分為兩種情況
NTLM驗(yàn)證
這種驗(yàn)證方式需要把用戶的用戶名和密碼傳送到服務(wù)端,服務(wù)端驗(yàn)證用戶名和密碼是否和服務(wù)器的此用戶的密碼一致。用戶名用明碼傳送,但是密碼經(jīng)過處理后派生出一個(gè)8字節(jié)的key加密質(zhì)詢碼后傳送。
Kerberos驗(yàn)證
這種驗(yàn)證方式只把客戶端訪問IIS的驗(yàn)證票發(fā)送到IIS服務(wù)器,IIS收到這個(gè)票據(jù)就能確定客戶端的身份,不需要傳送用戶的密碼。需要kerberos驗(yàn)證的用戶一定是域用戶。
每一個(gè)登錄用戶在登錄被驗(yàn)證后都會(huì)被域中的驗(yàn)證服務(wù)器生成一個(gè)票據(jù)授權(quán)票(TGT)作為這個(gè)用戶訪問其他服務(wù)所要驗(yàn)證票的憑證(這是為了實(shí)現(xiàn)一次登錄就能訪問域中所有需要驗(yàn)證的資源的所謂單點(diǎn)登錄SSO功能),而訪問IIS服務(wù)器的驗(yàn)證票是通過此用戶的票據(jù)授權(quán)票(TGT)向IIS獲取的。之后此客戶訪問此IIS都使用這個(gè)驗(yàn)證票。同樣訪問其他需要驗(yàn)證的服務(wù)也是憑這個(gè)TGT獲取該服務(wù)的驗(yàn)證票。