集成身份認證
① server2008下如何進行集成windows身份驗證 急!!!!在線等
仔細看看這個設置最下邊的說明
允許匿名訪問,指的是匿名用戶可回以訪問指定為允許匿名答訪問的資源
這種指定應該用NTFS文件系統裡面的許可權設置來進行
需要用戶名和密碼是NTFS許可權不夠
當然只有在啟用了集成Windows身份驗證的情況下才會彈出用戶名和密碼框,如果沒啟用,那直接就是拒絕訪問了,打不開的
你說的情況:
1.去掉集成Windows身份驗證,本地不能訪問,是因為去掉集成Windows身份驗證以後所有的訪問都強制為匿名訪問,而匿名用戶沒有訪問權(注意不是你說的「給了匿名登陸」的登陸許可權)
2.打開了集成Windows身份驗證以後,同樣是匿名用戶不能訪問,而本地用戶自動以本地用戶的身份是可以訪問的,假如不在本地,那隻能輸入一個有效的本地用戶名和密碼才能訪問
可以預見,現在即使你取消匿名訪問,現象也不會變化。
我想你可以試試:
對網站的主文件夾,授予匿名用戶合適的訪問許可權(資源管理器裡面操作)
給我分...趕緊
② Windows 集成的身份驗證如何添加改變登錄用戶按鈕
實質上,Asp.net 驗證都經過了兩次驗證,一是IIS驗證,二是Asp.net驗證。如果Asp.net採用windows身份驗證模式,就意味著將身份驗證的任務完全交給IIS完成,ASP.Net不會再進行身份驗證。如果Asp.net採用Forms身份驗證,則會進行兩次身份驗證,先是IIS驗證,登錄時出現一個windows標准登錄窗體,通過驗證後再進行Forms驗證,需要自己編寫登錄窗體。
所以,要實現你要的功能,可以通過HttpMole來實現,即IIS Filter。
在自定義HttpMole中注冊AuthenticateRequest事件。該事件在IIS驗證用戶後,Asp.net准備驗證時觸發。在Web.config中注冊模塊,Global.asax 中處理AuthenticateRequest事件,實現你要的功能「自動填寫表單,當然密碼可能要內置。」
Global.asax是用來編寫HttpMole中的事件處理程序,不需要配置的,設置應在Web.config中。
另外,因為你要實現「用WAD查詢用戶名,若不存在此賬戶則提示創建新用戶;」這個功能,所以要自己編寫HttpMoule,否則不需要編寫HttpMoule,直接在Global.asax中處理AuthenticationRequest事件就可以了
③ 15.在對站點的訪問中,除了匿名訪問,還有哪幾種身份驗證方式( ) A.集成windows身份驗證 B.摘要式身份驗證 C
C 吧
基於Web的各種身份驗證方式中最簡單的形式被稱為基本身份驗證。基本身份驗證的工作機制是向Web瀏覽器發送一個HTTP 401(未授權)響應。在瀏覽器看到這個響應時,它就可以知道伺服器需要這個用戶進行登錄。於是,瀏覽器彈出一個對話框來提示用戶輸入用戶名和密碼
摘要式身份驗證採用的是一種質詢/響應的機制,它在網路上發送摘要(也稱為哈希),而不發送密碼。在摘要式身份驗證期間,IIS 向客戶端發送質詢以創建一個摘要,然後將該質詢發送給伺服器。然後,客戶端發送一個基於用戶密碼和數據(對於客戶端和伺服器都是已知的)的摘要,作為對質詢的響應。伺服器使用與客戶端相同的過程創建自己的摘要,其用戶信息獲取自 Active Directory。如果伺服器創建的摘要與客戶端創建的摘要相匹配,則 IIS 將認為客戶端通過了身份驗證。只能在 Active Directory 域部署中使用摘要式身份驗證。同基本身份驗證相比,摘要式身份驗證只有少許改進。攻擊者可以記錄客戶端和伺服器之間的通信,然後使用此通信信息重播該事務。摘要式身份驗證也依賴於 HTTP 1.1 協議。並非所有的 Web 瀏覽器都支持該協議。而且,必須正確配置摘要式身份驗證,否則,嘗試訪問 Team Foundation Server 將失敗。除非您的部署滿足摘要式身份驗證的所有要求,否則請不要選擇摘要式身份驗證。有關摘要式身份驗證的更多信息,請參見 Microsoft 網站 (http://go.microsoft.com/fwlink/?LinkID=89709)。
NET Passport這是ASP.NET 的安全認證之一
集成 Windows 身份驗證提供了一種授權用戶(指管理站點的用戶)的手段,但是不允許通過網路傳遞憑據。啟用集成 Windows 身份驗證時,運行管理界面的瀏覽器將啟動與 Web 伺服器的加密交換,該 Web 伺服器使用 NTLM 或者 Kerberos 身份驗證來驗證用戶訪問。這種方法提供了足夠的安全性,但是不允許 IIS 向遠程計算機委派用戶名和密碼。因此,只有在啟用了集成 Windows 身份驗證後,您才能管理本地的 Windows Media 伺服器。
集成 Windows 身份驗證不會一開始就提示用戶輸入用戶名和密碼。客戶計算機上的 Windows 用戶帳戶信息將被用於身份驗證。然而,如果身份驗證交換沒有識別出用戶,則瀏覽器將提示用戶輸入身份驗證信息。需要Internet Explorer 2.0 或更高版本,並且集成的 Windows 身份驗證不能跨代理伺服器或者其他防火牆應用程序使用。
有關配置 IIS 安全屬性的詳細信息,請參閱 Internet 信息服務 (IIS) 管理器幫助
自己看看吧
④ 如何啟用集成windows身份認證
步驟如下:
打開IIS
在「網站」節點上右擊
選擇「屬性」
點擊「目錄安全性」選項卡
單擊「編輯」
勾選頁面最下面的「集成Windows身份驗證」復選框
⑤ 集成Windows 身份驗證
(以前稱為 NTLM 或 Windows NT 質詢/響應驗證)是一種安全的驗證形式,因為在通過網路發送用戶名和密碼之前,先將它們進行哈希計算。當啟用集成 Windows 身份驗證時,用戶的瀏覽器通過與 Web 伺服器進行密碼交換(包括哈希)來證明其知曉密碼。集成 Windows 身份驗證是 Windows Server 2003 家族成員中使用的默認驗證方法。使用 Kerberos v5 驗證和 NTLM 驗證。如果在 Windows 2000 或更高版本域控制器上安裝了 Active Directory 服務,並且用戶的瀏覽器支持 Kerberos v5 驗證協議,則使用 Kerberos v5 驗證,否則使用 NTLM 驗證。包括 Negotiate、Kerberos 和 NTLM 驗證方法。Negotiate(Kerberos 和 NTLM 的包裝)非常適用於連接 Internet 上的客戶端,因為這兩種驗證方法均缺少某個功能(如下所示):NTLM 可以通過防火牆,但通常會被代理伺服器擋住。Kerberos 可以通過代理伺服器,但通常會被防火牆擋住。要成功地進行 Kerberos v5 驗證,客戶端和伺服器都必須可靠地連接到密鑰分配中心 (KDC),並且必須與 Active Directory 服務兼容。 客戶端驗證過程 注意 如有必要,可以將 Microsoft Internet Explorer 4.0 及更高版本配置為在開始時提示輸入用戶信息。有關詳細信息,請參閱 Internet Explorer 幫助。 如果開始時的驗證交換無法識別用戶,則瀏覽器提示用戶輸入 Windows 帳戶用戶名和密碼,並使用集成 Windows 身份驗證進行處理。Internet Explorer 將繼續提示用戶,直到用戶輸入有效的用戶名和密碼或關閉提示對話框為止。盡管集成 Windows 身份驗證非常安全,但它仍然有兩個限制:只有Microsoft Internet Explorer 2.0 和更高版本才支持這種驗證方法。它不能用於 HTTP 代理連接。因此,集成 Windows 身份驗證最適用於 Intranet 環境,在其中用戶和 Web 伺服器計算機位於相同的域中,並且管理員可以確保每個用戶使用 Internet Explorer 2.0 或更高版本。如果集成 Windows 身份驗證由於用戶憑據錯誤或其他問題而失敗,則瀏覽器就會提示用戶輸入用戶名和密碼。使用 Kerberos。在 Kerberos 身份驗證服務對某個服務進行驗證之前,該服務只能在一個帳戶對象上注冊。如果服務實例的登錄帳戶發生變化,則該服務必須使用新帳戶重新注冊。因此,只有一個注冊了該服務的應用程序池可以使用 Kerberos 進行驗證。因此,在應用程序池的虛擬目錄級別上,不能將站點彼此隔離。但是,有一個解決辦法。客戶可以基於域名來隔離這些站點。例如,CompanynameHR.com 和 CompanynameSales.com。 配置集成 Windows 身份驗證 要點 您必須是本地計算機上 Administrators 組的成員或者您必須被委派相應的許可權才能執行下列步驟。作為安全性的最佳操作,請使用不屬於 Administrators 組的帳戶登錄到計算機,然後使用運行方式命令來以管理員身份運行 IIS 管理器。在命令提示符下,鍵入 runasuser:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。啟用集成 Windows 身份驗證在IIS 管理器中,右鍵單擊「網站」文件夾、網站、目錄、虛擬目錄或文件,然後單擊「屬性」。 注意 所有網站均能繼承在網站文件夾級別設定的配置設置。 單擊「目錄安全性」或「文件安全性」選項卡,具體情況取決於所配置的安全設置級別。 在「身份驗證和訪問控制」部分中,單擊「編輯」。 在「用戶訪問需經過身份驗證」部分中,選中「集成 Windows 身份驗證」復選框。單擊「確定」兩次。
⑥ 如何配置集成 Windows 身份驗證的 OWA 和 Exchange Server 5.5
如何配置 IIS 中的身份驗證啟動「IIS 管理器」或者打開 IIS 管理單元。 Server_name,其中 Server_name 是伺服器的名稱,然後網站。 在控制台樹中,右鍵單擊您要配置身份驗證的網站、虛擬目錄或文件,然後單擊屬性。 單擊目錄安全性或文件安全性選項卡(根據需要),然後在「匿名和訪問控制」下單擊編輯。 單擊以選中您要使用的一種或多種身份驗證方法旁邊的復選框,然後單擊確定。 默認設置的身份驗證方法是「匿名訪問」和「集成 Windows 身份驗證」: 匿名訪問:如果啟用了匿名訪問,訪問站點時,不要求提供經過身份驗證的用戶憑據。當需要讓大家公開訪問那些沒有安全要求的信息時,使用此選項最合適。用戶嘗試連接您的網站時,IIS 會將該連接分配給 IUSER_ComputerName 帳戶,其中 ComputerName 是運行 IIS 的伺服器的名稱。默認情況下,IUSER_ComputerName 帳戶為 Guests 組的成員。此組具有 NTFS 文件系統許可權所規定的安全限制,這些限制指定訪問級別以及可提供給公共用戶的內容的類型。要編輯用於匿名訪問的 Windows 帳戶,請在「匿名訪問」框中單擊瀏覽。
⑦ 我在伺服器上的iis上的身份驗證選項中去掉了匿名訪問,啟用了集成windows身份驗證
在客戶端訪問時彈出windows驗證對話框,如何設用戶名和密碼?在哪裡設置的?具體操作如下:
1、如果您的伺服器尚未安裝IIS,可以參考如下的安裝說明,否則請跳過此節。nbsp;在「控制面板」的「添加/刪除程序」窗口左側選擇「添加/刪除nbsp;Windowsnbsp;組件」,稍候彈出一組件選擇窗口,單擊「確定」回到上一窗口,單擊「下一步」,插入Windows安裝光碟,等待完成即可。
2、nbsp;安裝結束後,將增加兩項系統服務,為「IISnbsp;Adminnbsp;Services」和「Worldnbsp;Widenbsp;Webnbsp;Publishingnbsp;Service」,要使IIS伺服器運行,這兩項服務缺一不可。另外,如果您使用Windowsnbsp;2000/XPnbsp;Professional版操作系統,那麼並發連接數被限制在10個。nbsp;打開瀏覽器,在地址欄輸入「localhost」或「127.0.0.1」,如果能看到關於IIS的頁面,則說明IIS安裝成功。
3、可以在IIS管理器中連接遠程IIS伺服器,在左方樹形列表的根「Internetnbsp;信息服務」單擊右鍵,輸入計算機名、IP、或域名。nbsp;設置Web根目錄:nbsp;展開計算機名,右鍵單擊其下的「默認Web站點」,選擇「屬性」,在「主目錄」頁的「內容來源」選擇「此計算機上的目錄」,然後在其下的「本地路徑」中輸入Web根目錄所在的實際位置。
4、可以在Web根目錄下新建gbook目錄,將留言本程序復制到該目錄下。如果根目錄沒有分配腳本執行許可權,您可以另建含有腳本許可權的虛擬目錄。方法是在「默認Web站點」上點擊右鍵,選擇「新建」→「虛擬目錄」,在向導的別名中輸入「gbook」,目錄可以選擇與Web根目錄不同的位置,許可權選擇「讀取」和「運行腳本」。然後按照設置Web根目錄的方法,同樣在「屬性」中添加默認文檔「index.asp」。
⑧ loadrunner遇到windows集成身份驗證怎麼辦
我抓了下web提示身份驗證的流程消息,發現彈出windows集成身份驗證時發送到本地內的是401鑒權消息,之後輸入用戶容名和密碼會給伺服器發送401帶鑒權信息的消息,也就是說LR模擬要通過驗證需要組裝這樣一條401消息發送給伺服器,這條401消息里需要注意這兩個地方:1.cookie:這個從伺服器發給本地的第一條401里有,通過LR里注冊web_reg_save_param函數獲取。2.Authorization:這個是軟體系統通過演算法將你的用戶名和密碼加密後得到的,這個演算法需要開發人員提供,LR處理的時候可以將該演算法封裝成DLL導入到LR里,然後引用DLL演算法計算出Authorization消息內容。
抓取消息的方法:如果是web端的HTTP消息,通過httpwatch工具抓取(記得把加密協議去掉,這個找開發把加密代碼注釋掉)。
如果是C/S架構的客戶端消息,通過wireshark等工具抓取(還是要把加密協議去掉)。
⑨ 統一身份認證的統一身份認證(IDS)系統
1、IDS功能概述
統一用戶管理系統(IDS),實現網上應用系統的用戶、角色和組織機構統一化管理,實現各種應用系統間跨域的單點登錄和單點退出和統一的身份認證功能,用戶登錄到一個系統後,再轉入到其他應用系統時不需要再次登錄,簡化了用戶的操作,也保證了同一用戶在不同的應用系統中身份的一致性。
圖: 統一身份認證示意圖
如上圖所示,IDS通過WebService對外發布認證服務,實現了平台的無關性,能與各種主機、各種應用系統對接。另外,IDS還提供了一套標準的介面,保證的IDS與各種應用系統之間對接的易操作性。
IDS的主要功能如下:
1)用戶管理 :實現用戶與組織創建、刪除、維護與同步等功能;
2)用戶認證:通過SOA服務,支持第三方認證系統;
3)單點登錄 :共享多應用系統之間的用戶認證信息,實現在多個應用系統間自由切換;
4)分級管理 :實現管理功能的分散,支持對用戶、組織等管理功能的分級委託;
5)許可權管理: 系統提供了統一的,可以擴展的許可權管理及介面,支持第三方應用系統通過介面獲取用戶許可權。
6)會話管理: 查看、瀏覽與檢索用戶登錄情況,管理員可以在線強制用戶退出當前的應用登錄;
7)支持Windows、Linux、Solaris等操作系統;支持Tomcat、WebLogic、WebSphere等應用伺服器;支持SQL Server等資料庫系統;
2、IDS的結構
統一身份認證通過統一管理不同應用體系身份存貯方式、統一認證的方式,使同一用戶在所有應用系統中的身份一致,應用程序不必關心身份的認證過程。
從結構上來看,統一身份認證系統由統一身份認證管理模塊、統一身份認證伺服器、身份信息存貯伺服器三大部分組成。
其中統一身份認證管理模塊由管理工具和管理服務組成,實現用戶組管理、用戶管理;管理工具實現界面操作,並把操作數據遞交給管理伺服器,管理伺服器在修改存貯伺服器中的內容。
統一身份認證伺服器向應用程序提供統一的Webservice認證服務。它接收應用程序傳遞過來的用戶名和密碼,驗證通過後把用戶的認證令牌返回給應用程序。
身份存儲伺服器存儲身份、許可權數據。其中身份存儲伺服器可以選擇關系型資料庫、LDAP目錄、AD等。另外可以將CA發放的數字證書存儲在身份存儲伺服器。
如下圖所示:
3、IDS的特點
1)方便實用
實現單點登錄(SSO)。用戶一次登錄後,就可以依靠認證令牌在不同系統之間切換。
IDS所有的管理功能都是基於頁面實現的,管理員只要通過瀏覽器即可完成管理工作。
提出了分級管理員的概念,使管理大量用戶變成了可能。
2)跨平台
IDS的實現基於SOA架構
介面採用SOAP XML標准,可跨平台與多種類型的應用系統對接
3)支持多種身份存在方式
支持通用關系型資料庫
LDAP目錄
Microsoft Active Directory(AD)
4)安全可靠
系統能夠集成成熟的認證體系:CA,可以保證交易和企業內部活動中的身份不可抵賴,用戶簽名無法偽造。
系統在數據傳輸過程中,支持HTTPS方式的數據加密傳輸,阻止數據被監聽、分析。
系統能夠定義管理多種許可權級別策略。
