下面两节讨论基本身份验证和集成的 Windows 身份验证,对于管理员何时应使用其中一种方法而不使用另一种,我们也提供了一些一般性建议。
基本身份验证 基本身份验证类似于 MSCMS 基于窗体的身份验证,因为它是 HTTP 规范的一部分,而且多数浏览器都支持它。用户将分配给他们的 Windows 2000 帐户用户名、密码和域名输入到对话框中。管理员可能还会指定一个默认域。
在符合下面的一个或多个条件的环境中,建议采用基本身份验证:
1.用户正在从多个浏览器进行身份验证,MSCMS 基本窗体身份验证不是选项之一。 2.浏览计算机的 IP 地址使用了一个代理服务器,因而集成的 Windows 身份验证不能使用。 3.管理员想识别对站点的访问,亦即确定用户的唯一号码,而不关心经过身份验证的访问。
与基于窗体的身份验证类似,基本身份验证在用户发出初始请求时通过网络以明文形式发送用户信息;此外,以后每发送一个请求,基本身份验证都会发送用户信息。因为用户每次请求一个新页面时都会通过网络传递用户信息,所以用户信息特别容易被截取。由于这一原因,除非用户和 Web 服务器之间的连接绝对安全(例如通过专线),否则建议不要采用基本身份验证。此外,对于依赖基本身份验证的 Web 站点的任一部分,都应当采用 SSL 加密。
集成的 Windows 身份验证 与基本身份验证类似,集成的 Windows 身份验证(以前称为 NTLM 或 Windows NT 请求/响应身份验证)利用了用户的 Windows 登录信息。但是,浏览器并不提示用户将这些信息重新输入到一个对话框中,而是尝试自动检索这些信息。此过程称为自动登录。在 Intranet 环境中,默认情况下会启用这种身份验证方式,但管理员可以在 IIS 中禁用它。若要在 Intranet 环境中使用自动登录,用户必须向服务器所在的域进行身份验证,否则用户的域和服务器的域之间必须存在一种单向信任关系。
注 如果有一个外围网络(又称 DMZ、非军事区和屏蔽子网)保护 Web 环境,则不建议建立从外围网络到内部网络的信任。如果相应的端口已经打开,则可以使用防火墙之外的域。
当浏览器检索 Windows 身份验证信息之后,它会通过一个称为哈希 的单向进程将这些数据传给 Web 服务器。生成的消息摘要或“哈希”是无法解密的。如果身份验证交换最初未能识别用户,则浏览器将提示用户提供帐户名、密码和域。
尽管集成的 Windows 身份验证是最安全的身份验证选项,但它确实有一些限制:
■ 如果防火墙或代理服务器屏蔽了浏览计算机的 IP 地址,则不能使用它。 ■ 在 HTTP 代理连接中不能使用它。 ■ 提示用户输入登录信息的对话框是不可自定义的。 ■ 它只能用于 Internet Explorer 浏览器。
集成的 Windows 身份验证最适合用于内联网环境;在这种环境中,用户和 Web 服务器处于同一域中,而且管理员可以确保所有经过身份验证的用户都使用 Internet Explorer。
有关集成的 Windows 身份验证的更多信息,请参见 http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/iis/maintain/featusability/authmeth.asp
使用 Site Server 登录 Content Manager Server 2001 当前支持 Microsoft Site Server 3.0 SP3,因此可以使用 Site Server 的 Membership Server(成员身份服务器)来对轻量目录访问协议 (LDAP) 帐户进行身份验证。
Site Server 提供基于窗体的登录。Content Management Server 2001 中两个帮助验证身份的文件分别是位于虚拟 Web 根下的 NRSiteServerAccess.asp 和位于 IIS_NR/shared 下的 NRFormsLogin.asp。
如果决定使用 Site Server 身份验证,请注意以下几点:
■ Site Server 身份验证不提供一般的 LDAP 支持。例如,它不能用于 Novell 系统。 ■ MSCMS 的未来版本中将不支持 Site Server,它仅在 MSCMS 2001 中可用。 ■ 服务器群集环境中不支持 Site Server。
设为主页
收藏本站
相关文章: