本文介绍 IIS 如何对浏览器客户端进行身份验证。

原始产品版本： Ie
原始 KB 编号： 264921

本文介绍 IIS 中适用于 Windows NT 4.0、Windows 2000 及更高版本的不同身份验证方法。 有关本文中讨论的信息的更完整说明，请参阅 Windows NT 4.0 和 Windows 2000 资源指南。

匿名 - 无需登录，任何人都可以访问使用此方法保护的数据。 默认情况下，服务器使用内置帐户 (IUSR_[计算机名称]) 来控制文件的权限。 浏览器不会发送任何具有此类请求的凭据或用户信息。

• 支持的浏览器：任意

• 限制：无

• 需要用户权限：服务器上定义的匿名用户帐户必须具有 本地权限日志 。

• 加密类型：无

基本 (清除文本) - 服务器请求用户登录，并在浏览器中显示一个对话框，允许用户输入所需的凭据。 这些凭据必须与用户尝试访问的文件上定义的用户凭据匹配。

• 支持的浏览器：任意

• 限制：不安全。 密码易于解密。

• 需要用户权限：用户帐户必须具有 本地权限日志 。

• 加密类型：基础 64 编码 (不是真正的加密)

Windows NT质询/响应 - 服务器请求用户登录。 如果浏览器支持Windows NT质询/响应，则在用户登录时会自动发送用户的凭据。 如果用户所在的域不同于服务器的域，或者如果用户未登录，则会出现一个对话框，请求发送凭据。 Windows NT质询/响应使用算法根据用户的凭据和用户正在使用的计算机生成哈希。 然后，它会将此哈希发送到服务器。 浏览器不会将用户的密码发送到服务器。

• 支持的浏览器：Internet Explorer 版本 3.01 及更高版本

• 限制：需要点到点连接。 通常，线路在出现“401 未经授权”错误消息后关闭：但是，在协商需要多次往返) Windows NT质询/响应身份验证序列 (时，在客户端表示将使用Windows NT质询/响应后，服务器将保持线路在序列的持续时间内保持打开状态。 CERN 代理和某些其他 Internet 设备阻止此操作。 此外，Windows NT质询/响应不支持双跃点模拟 (在传递到 IIS 服务器后，无法将相同的凭据传递到后端服务器进行身份验证) 。

• 需要用户权限：访问服务器的用户帐户必须具有“从网络访问此计算机”权限。

• 加密类型：未编码的 NTLM 哈希算法。

优先顺序： 当浏览器发出请求时，它始终将第一个请求视为匿名。 因此，它不会发送任何凭据。 如果服务器不接受匿名或服务器上设置的匿名用户帐户对所请求的文件没有权限，则 IIS 服务器将使用 “拒绝访问 ”错误消息进行响应，并使用以下方案之一发送支持的身份验证类型的列表：

• 如果Windows NT质询/响应是唯一受支持的方法 (或匿名失败) ，则浏览器必须支持此方法才能与服务器通信。 否则，它无法与服务器协商，并且用户收到 “拒绝访问” 错误消息。

• 如果 Basic 是唯一受支持的方法 (或匿名失败) ，则浏览器中会显示一个对话框以获取凭据，然后将这些凭据传递给服务器。 它尝试发送这些凭据最多三次。 如果所有这些操作都失败，则浏览器不会连接到服务器。

• 如果支持基本和Windows NT质询/响应，浏览器将确定使用哪种方法。 如果浏览器支持Windows NT质询/响应，则它使用此方法，并且不会回退到 Basic。 如果不支持Windows NT质询/响应，浏览器将使用 Basic。

匿名 - 无需登录，任何人都可以访问使用此方法保护的数据。 默认情况下，服务器使用内置帐户 (IUSR_[计算机名称]) 来控制文件的权限。 浏览器不会发送任何具有此类请求的凭据或用户信息。

• 支持的浏览器：任意

• 限制：无

• 需要用户权限：服务器上定义的匿名用户帐户必须具有“本地登录”权限。

• 加密类型：无

基本 (清除文本) - 服务器请求用户登录，并在浏览器中显示一个对话框，允许用户输入所需的凭据。 这些凭据必须与用户尝试访问的文件上定义的用户凭据匹配。

• 支持的浏览器：任意

• 限制：不安全。 密码易于解密。

• 需要用户权限：用户帐户必须具有本地权限日志

• 加密类型：基础 64 编码 (不是真正的加密)

摘要 - 服务器请求用户登录，并发送用于加密密码的 NONCE。 浏览器使用 NONCE 加密密码并将密码发送到服务器。 然后，服务器将加密其自己的用户密码副本并进行比较。 如果用户匹配且用户具有权限，则授予访问权限。

• 支持的浏览器：Internet Explorer 5 及更高版本

• 限制：不像集成那样安全。 要求服务器有权访问为摘要身份验证设置的 Active Directory 服务器。

• 需要用户权限：要求密码具有“将密码另存为加密的清除文本”

• 加密类型：基于服务器发送的 NONCE。

Windows 集成 (拆分为两个子类别)

Kerberos - 服务器请求用户登录。 如果浏览器支持 Kerberos，则会发生以下情况：

• IIS 请求身份验证。

• 如果客户端尚未登录到域，则 Internet Explorer 中会显示一个请求凭据的对话框，然后联系 KDC 请求并接收票证授予票证。 然后，它将票证授予票证以及有关 IIS 服务器的信息发送到 KDC。

• 如果 IE 客户端已成功登录到域并收到票证授予票证，则会将此票证以及有关 IIS 服务器的信息发送到 KDC

• KDC 向客户端颁发资源票证。

• 客户端将此票证传递给 IIS 服务器。

Kerberos 使用票证授予服务器 (KDC) 生成的票证进行身份验证。 它会将此票证发送到 IIS 服务器。 浏览器不会将用户的密码发送到服务器。

• 支持的浏览器：Internet Explorer 版本 5.0 及更高版本

• 限制：服务器必须有权访问 Active Directory 服务器。 服务器和客户端都必须与 KDC 建立受信任的连接。

• 需要用户权限：服务器上定义的匿名用户帐户必须具有 本地权限日志 。

• 加密类型：加密票证。

Windows NT质询/响应 - 服务器请求用户登录。 如果浏览器支持Windows NT质询/响应，则在用户登录时会自动发送用户的凭据。 如果用户所在的域不同于服务器的域，或者如果用户未登录，则 Internet Explorer 中会显示一个对话框，请求发送凭据。 Windows NT质询/响应使用算法根据用户的凭据和用户正在使用的计算机生成哈希。 然后，它会将此哈希发送到服务器。 浏览器不会将用户的密码发送到服务器。

• 支持的浏览器：Internet Explorer 版本 3.01 及更高版本。

• 限制：需要点到点连接。 通常，线路在出现“401 未经授权”错误消息后关闭：但是，在协商需要多次往返) Windows NT质询/响应身份验证序列 (时，在客户端表示将使用Windows NT质询/响应后，服务器将保持线路在序列的持续时间内保持打开状态。 CERN 代理和某些其他 Internet 设备阻止此操作。 此外，Windows NT质询/响应不支持双跃点模拟 (这意味着一旦传递到 IIS 服务器，则无法将相同的凭据传递到后端服务器进行身份验证，例如，当 IIS 使用Windows NT质询/响应时，它无法使用 SQL 集成安全) 对用户在另一台计算机上的SQL Server数据库进行身份验证。

• 需要用户权限：访问服务器的用户帐户必须具有“从网络访问此计算机”权限。

• 加密类型：未编码的 NTLM 哈希算法。

优先顺序： 当浏览器发出请求时，它始终将第一个请求视为匿名。 因此，它不会发送任何凭据。 如果服务器不接受匿名，或者服务器上设置的匿名用户帐户没有请求的文件的权限，则 IIS 服务器将使用 “拒绝访问 ”错误消息进行响应，并使用以下方案之一发送支持的身份验证类型的列表：

• 如果 Windows 集成是唯一受支持的方法 (或匿名失败) ，则浏览器必须支持此方法才能与服务器通信。 如果失败，服务器不会尝试任何其他方法。

• 如果 Basic 是唯一受支持的方法 (或匿名) 失败，则会在其中显示一个对话框以获取凭据，然后将这些凭据传递给服务器。 它尝试发送最多三次凭据。 如果所有这些操作都失败，浏览器将不会连接到服务器。

• 如果支持基本集成和 Windows 集成，浏览器将确定使用哪种方法。 如果浏览器支持 Kerberos 或Windows NT质询/响应，则使用此方法。 它不会回退到基本。 如果不支持Windows NT质询/响应和 Kerberos，浏览器将使用 Basic、Digest 或 Fortezza（如果支持这些）。 此处的优先顺序是 Basic、Digest 和 Fortezza。

有关如何在 Windows Server 2003 中配置 IIS 网站身份验证的详细信息，请参阅 如何在 Windows Server 2003 中配置 IIS 网站身份验证。