中国投资网 百科 IIS服务器身份验证的方式原理

IIS服务器身份验证的方式原理

Iis服务器具有身份验证功能,可以有以下几种身份验证方式:

匿名访问

通过这种方式,不验证访问用户的身份,客户端也不需要提供任何身份验证凭据。服务器将这种访问视为匿名访问,并将所有这种访问用户映射到服务器的一个帐户,通常是用户IUSER_MACHINE。可以修改映射的用户:

集成windows身份验证

这种验证方式也有两种情况。

NTLM验证

这种验证方式需要将用户的用户名和密码发送到服务器,服务器验证用户名和密码是否与服务器的用户密码一致。用户名被清楚地传输,但是密码被处理以导出8字节密钥加密的挑战码,然后被传输。

Kerberos身份验证

这种认证方式只将访问IIS的客户端的认证票发送给IIS服务器,IIS收到这张票后就可以确定客户端的身份,不需要传输用户的密码。需要kerberos身份验证的用户必须是域用户。

每个登录用户经过验证后,域内的认证服务器会生成一张票授权票(TGT),作为用户访问其他服务的凭证(这是为了实现访问域内所有需要验证一次的资源的所谓单点登录SSO功能),通过这个用户的票授权票(TGT)从IIS获取访问IIS服务器的认证票。之后,该客户将在访问该IIS时使用该身份验证票。同样,对其他需要验证的服务的访问也是基于这个TGT来获取这个服务的验证票。

下面是kerberos的详细原理。

Kerberos原则介绍:

工作站运行一个名为Kinit的票证授权服务,专门用作工作站和认证服务器Kerberos之间的身份认证服务。

1.用户开始登录,输入用户名,验证服务器是否收到用户名,在用户数据库中查找该用户,结果找到该用户。

2.认证服务器生成在认证服务器和登录用户之间共享的会话密钥。该密码只能在认证服务器和登录用户之间使用,以进行相互认证。同时,验证服务器为该登录用户生成一个票授予票,工作站可以凭此票向验证服务器请求其他票,无需再次验证其身份。验证服务器使用登录用户的密码对{ session key+ticket-granting ticket }进行加密,并将其发送回工作站。

3.工作站用自己的密码解密验证服务器返回的数据包。如果解密正确,则验证成功。解密后,可以获得由登录用户和认证服务器共享的会话密钥和票据授予票据。此时,登录的用户没有在网络上发送密码,用户由认证服务器通过用用户密码加密授权票据来认证。用户和认证服务器之间的关系被建立,相应的身份证书也被保存在工作站上。以后如果使用网络中的其他服务,可以向认证服务器申请相应服务器的服务票,获得相应的服务认证。

4.如果用户第一次访问IIS服务器,工作站的kinit检查到工作站上没有访问IIS服务器的认证票,于是kinit会向认证服务器发送请求,要求获得访问IIS服务的认证票。Kinit首先需要生成一个认证器。认证器是这样的:{用户名:工作站地址}用认证服务器的会话密钥加密。Kinit将验证器、账单授权票、您的姓名、您的工作站地址和IIS服务名称发送到验证服务器。验证服务器验证验证授权票是真实有效的,然后用和你共享的会话密钥解锁验证器,获取用户名和地址,和发送这个请求的用户和地址进行比对。如果匹配,说明验证通过,这个请求是合法的。

5.先生认证服务器生成这个用户和IIS服务器之间的会话密钥会话密码,然后根据用户的请求生成IIS服务器的认证票,看起来是这样的:{会话密码:用户名:用户机器地址:服务名:有效期:时间戳},这个认证票用IIS服务器的密码加密(认证服务器知道所有授权服务的密码)形成最终的认证票。最后,认证服务器{会话密码+加密认证票}用用户密码加密并发送给用户。

6.工作站接收认证服务器返回的数据包,用自己的密码解密,获得与IIS服务器的会话密钥和IIS服务器的认证票。

7.Workstation kinit还需要生成一个认证器。验证者是这样的:{用户名:工作站地址}是用IIS服务器的会话密钥加密的。将验证器和IIS验证票发送到IIS服务器。

8.IIS服务器首先用自己的服务器密码解密IIS身份验证票。如果解密成功,则意味着认证票是真实有效的。然后,检查认证票是否在有效期内。在有效期内,用认证票中的会话密码解密认证器,获得用户名和工作站地址。如果与身份验证票中的用户名和地址一致,则意味着发送身份验证票的用户是身份验证票的所有者,从而验证此请求有效。

基本认证

这种验证方式是将用户名和明文以明文(采用base64编码,但base64编码不加密,转换后可以转换成原始明文)的形式发送到服务器进行验证。服务器直接验证服务器本地用户是否与客户端提供的用户名和密码匹配,如果匹配则验证通过。

本文来自网络,不代表本站立场,转载请注明出处:https:

IIS服务器身份验证的方式原理

中国投资网后续将为您提供丰富、全面的关于IIS服务器身份验证的方式原理内容,让您第一时间了解到关于IIS服务器身份验证的方式原理的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。