发信人: qcrsoft(网痞)
整理人: qcrsoft(2002-05-09 23:26:29), 站内信件
|
作者:Adam
email: [email protected]
日期:7/25/2001 9:20:03 PM
Adam 于 00-7-15 17:50:53 加贴在 绿盟科技论坛(bbs.nsfocus.com)--WinNT安全:
了解Internet Information Service 5.0的认证方式
在我们使用IIS的时候,我们用的最多的无非是他的www服务和ftp服务,而对于IIS 5.0而
言,他为这www服务提供了5种认证方式:
1.Anonymous
2.Basic
3.Digest
4.Integrated Windows
5.Certificate
而对于ftp服务而言,他提供了2种认证方式:
1.Anonymous Ftp
2.Basic FTP
Anonymous 认证
如果你的网站不需要用户访问的时候输入用户名和口令,那么你可以采用这种方式来认
证,默认情况下,IIS会有一个在Guests组里的帐号提供给你网站的访问者,这个帐号通常
叫做IUSE_Machinename(机器名),就NTFS这一边而言,你必须给这个用户访问你Web文件
夹的权限,否则用户访问你的服务器的时候会有"HTTP 403 Access Denied"的错误提示.
Basic 认证
市面上我们所见到的许多浏览器都支持这种认证方式,IIS会弹出一个对话框,要求用户
输入他在该服务器上所拥有的帐号和密码,由于这种认证方式是没有加密的,所以建议采
用SSL来进行你的认证,安全系数会大很多.
Digest 认证
这个是IIS 5.0的新功能,他和Basic 认证很类似,但是他的认证过程经过了一次Hash,相
对而言比Basic 认证的明文口令要更加安全一点,通常在Proxy和防火墙的认证时采用,
这种认证方式只有在支持HTTP/1.1的浏览器才能够很好的支持.
Integrated Windows 认证
在IIS 4.0里我们已经很熟悉 Windows NT Chanllenge/Response 和 NT Lan Manager,
而Integrated Windows 认证是一个相对安全的认证,因为在认证过程中没有对帐号和口
令进行传输,他依靠服务器上进行密钥的交换来实现认证. Integrated Windows 认证可
以采用 Kerberos 5 认证协议或者自己的 Challenge/Response 协议.
如果你已经登陆到服务器上, Integrated Windows 认证会使用你当前的登陆信息来验
证你,而不会出现讨厌的弹出窗口,否则,你必须提供一个合法的帐号和密码.这种认证方
式最大的缺点就是只有IE才支持,希望在微软解体后能得到改善.
Certificate 认证
在传输秘密信息的时候,你必须使用服务端和客户端的证书来认证登陆到你的Web服务器
上的用户. 你可以分发一份证书给一个Windows的帐号,这样该用户不需要帐号和密码就
可以自动地登陆. 当然,你可以分发一个证书个一个帐号,也可以给这个帐号多份证书.
Anonymous FTP 认证
Anonymous FTP 认证和 WWW 的Anonymous 认证一样,用户不需要用户名和密码就可以访
问你的 FTP 服务器, 你可以通过设置 NTFS 的权限来禁止匿名用户访问.需要注意的是
, 如果你使用了 Basic 认证方式, Anonymous 认证也可以和 Basic 认证共存.
附:我作了一个小小的测试,在服务器上建一个用户名为anonymous的用户,在我登陆服务
器的时候,输入用户名:anonymous,结果IIS还是认为匿名用户访问,所以说:匿名访问比
基本认证方式的优先级别要高.
Basic FTP 认证
和WWW方式的 Basic 认证一样, 需要输入用户名和口令, 不过 FTP 的用户名和口令是
明文传输,既未编码,也未加密. 就Intranet而言,作为一个管理员来讲, 最好强迫用户
使用匿名用户访问 FTP Server, 因为FTP极容易暴露域用户的口令,你可以通过设置
NTFS 权限来控制访问权限.
这些只是一些很基本的东西,但是很容易搞混淆,所以列出来,搞清楚概念还是应该的.
|
|