集成身份认证
① server2008下如何进行集成windows身份验证 急!!!!在线等
仔细看看这个设置最下边的说明
允许匿名访问,指的是匿名用户可回以访问指定为允许匿名答访问的资源
这种指定应该用NTFS文件系统里面的权限设置来进行
需要用户名和密码是NTFS权限不够
当然只有在启用了集成Windows身份验证的情况下才会弹出用户名和密码框,如果没启用,那直接就是拒绝访问了,打不开的
你说的情况:
1.去掉集成Windows身份验证,本地不能访问,是因为去掉集成Windows身份验证以后所有的访问都强制为匿名访问,而匿名用户没有访问权(注意不是你说的“给了匿名登陆”的登陆权限)
2.打开了集成Windows身份验证以后,同样是匿名用户不能访问,而本地用户自动以本地用户的身份是可以访问的,假如不在本地,那只能输入一个有效的本地用户名和密码才能访问
可以预见,现在即使你取消匿名访问,现象也不会变化。
我想你可以试试:
对网站的主文件夹,授予匿名用户合适的访问权限(资源管理器里面操作)
给我分...赶紧
② Windows 集成的身份验证如何添加改变登录用户按钮
实质上,Asp.net 验证都经过了两次验证,一是IIS验证,二是Asp.net验证。如果Asp.net采用windows身份验证模式,就意味着将身份验证的任务完全交给IIS完成,ASP.Net不会再进行身份验证。如果Asp.net采用Forms身份验证,则会进行两次身份验证,先是IIS验证,登录时出现一个windows标准登录窗体,通过验证后再进行Forms验证,需要自己编写登录窗体。
所以,要实现你要的功能,可以通过HttpMole来实现,即IIS Filter。
在自定义HttpMole中注册AuthenticateRequest事件。该事件在IIS验证用户后,Asp.net准备验证时触发。在Web.config中注册模块,Global.asax 中处理AuthenticateRequest事件,实现你要的功能“自动填写表单,当然密码可能要内置。”
Global.asax是用来编写HttpMole中的事件处理程序,不需要配置的,设置应在Web.config中。
另外,因为你要实现“用WAD查询用户名,若不存在此账户则提示创建新用户;”这个功能,所以要自己编写HttpMoule,否则不需要编写HttpMoule,直接在Global.asax中处理AuthenticationRequest事件就可以了
③ 15.在对站点的访问中,除了匿名访问,还有哪几种身份验证方式( ) A.集成windows身份验证 B.摘要式身份验证 C
C 吧
基于Web的各种身份验证方式中最简单的形式被称为基本身份验证。基本身份验证的工作机制是向Web浏览器发送一个HTTP 401(未授权)响应。在浏览器看到这个响应时,它就可以知道服务器需要这个用户进行登录。于是,浏览器弹出一个对话框来提示用户输入用户名和密码
摘要式身份验证采用的是一种质询/响应的机制,它在网络上发送摘要(也称为哈希),而不发送密码。在摘要式身份验证期间,IIS 向客户端发送质询以创建一个摘要,然后将该质询发送给服务器。然后,客户端发送一个基于用户密码和数据(对于客户端和服务器都是已知的)的摘要,作为对质询的响应。服务器使用与客户端相同的过程创建自己的摘要,其用户信息获取自 Active Directory。如果服务器创建的摘要与客户端创建的摘要相匹配,则 IIS 将认为客户端通过了身份验证。只能在 Active Directory 域部署中使用摘要式身份验证。同基本身份验证相比,摘要式身份验证只有少许改进。攻击者可以记录客户端和服务器之间的通信,然后使用此通信信息重播该事务。摘要式身份验证也依赖于 HTTP 1.1 协议。并非所有的 Web 浏览器都支持该协议。而且,必须正确配置摘要式身份验证,否则,尝试访问 Team Foundation Server 将失败。除非您的部署满足摘要式身份验证的所有要求,否则请不要选择摘要式身份验证。有关摘要式身份验证的更多信息,请参见 Microsoft 网站 (http://go.microsoft.com/fwlink/?LinkID=89709)。
NET Passport这是ASP.NET 的安全认证之一
集成 Windows 身份验证提供了一种授权用户(指管理站点的用户)的手段,但是不允许通过网络传递凭据。启用集成 Windows 身份验证时,运行管理界面的浏览器将启动与 Web 服务器的加密交换,该 Web 服务器使用 NTLM 或者 Kerberos 身份验证来验证用户访问。这种方法提供了足够的安全性,但是不允许 IIS 向远程计算机委派用户名和密码。因此,只有在启用了集成 Windows 身份验证后,您才能管理本地的 Windows Media 服务器。
集成 Windows 身份验证不会一开始就提示用户输入用户名和密码。客户计算机上的 Windows 用户帐户信息将被用于身份验证。然而,如果身份验证交换没有识别出用户,则浏览器将提示用户输入身份验证信息。需要Internet Explorer 2.0 或更高版本,并且集成的 Windows 身份验证不能跨代理服务器或者其他防火墙应用程序使用。
有关配置 IIS 安全属性的详细信息,请参阅 Internet 信息服务 (IIS) 管理器帮助
自己看看吧
④ 如何启用集成windows身份认证
步骤如下:
打开IIS
在“网站”节点上右击
选择“属性”
点击“目录安全性”选项卡
单击“编辑”
勾选页面最下面的“集成Windows身份验证”复选框
⑤ 集成Windows 身份验证
(以前称为 NTLM 或 Windows NT 质询/响应验证)是一种安全的验证形式,因为在通过网络发送用户名和密码之前,先将它们进行哈希计算。当启用集成 Windows 身份验证时,用户的浏览器通过与 Web 服务器进行密码交换(包括哈希)来证明其知晓密码。集成 Windows 身份验证是 Windows Server 2003 家族成员中使用的默认验证方法。使用 Kerberos v5 验证和 NTLM 验证。如果在 Windows 2000 或更高版本域控制器上安装了 Active Directory 服务,并且用户的浏览器支持 Kerberos v5 验证协议,则使用 Kerberos v5 验证,否则使用 NTLM 验证。包括 Negotiate、Kerberos 和 NTLM 验证方法。Negotiate(Kerberos 和 NTLM 的包装)非常适用于连接 Internet 上的客户端,因为这两种验证方法均缺少某个功能(如下所示):NTLM 可以通过防火墙,但通常会被代理服务器挡住。Kerberos 可以通过代理服务器,但通常会被防火墙挡住。要成功地进行 Kerberos v5 验证,客户端和服务器都必须可靠地连接到密钥分配中心 (KDC),并且必须与 Active Directory 服务兼容。 客户端验证过程 注意 如有必要,可以将 Microsoft Internet Explorer 4.0 及更高版本配置为在开始时提示输入用户信息。有关详细信息,请参阅 Internet Explorer 帮助。 如果开始时的验证交换无法识别用户,则浏览器提示用户输入 Windows 帐户用户名和密码,并使用集成 Windows 身份验证进行处理。Internet Explorer 将继续提示用户,直到用户输入有效的用户名和密码或关闭提示对话框为止。尽管集成 Windows 身份验证非常安全,但它仍然有两个限制:只有Microsoft Internet Explorer 2.0 和更高版本才支持这种验证方法。它不能用于 HTTP 代理连接。因此,集成 Windows 身份验证最适用于 Intranet 环境,在其中用户和 Web 服务器计算机位于相同的域中,并且管理员可以确保每个用户使用 Internet Explorer 2.0 或更高版本。如果集成 Windows 身份验证由于用户凭据错误或其他问题而失败,则浏览器就会提示用户输入用户名和密码。使用 Kerberos。在 Kerberos 身份验证服务对某个服务进行验证之前,该服务只能在一个帐户对象上注册。如果服务实例的登录帐户发生变化,则该服务必须使用新帐户重新注册。因此,只有一个注册了该服务的应用程序池可以使用 Kerberos 进行验证。因此,在应用程序池的虚拟目录级别上,不能将站点彼此隔离。但是,有一个解决办法。客户可以基于域名来隔离这些站点。例如,CompanynameHR.com 和 CompanynameSales.com。 配置集成 Windows 身份验证 要点 您必须是本地计算机上 Administrators 组的成员或者您必须被委派相应的权限才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录到计算机,然后使用运行方式命令来以管理员身份运行 IIS 管理器。在命令提示符下,键入 runasuser:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。启用集成 Windows 身份验证在IIS 管理器中,右键单击“网站”文件夹、网站、目录、虚拟目录或文件,然后单击“属性”。 注意 所有网站均能继承在网站文件夹级别设定的配置设置。 单击“目录安全性”或“文件安全性”选项卡,具体情况取决于所配置的安全设置级别。 在“身份验证和访问控制”部分中,单击“编辑”。 在“用户访问需经过身份验证”部分中,选中“集成 Windows 身份验证”复选框。单击“确定”两次。
⑥ 如何配置集成 Windows 身份验证的 OWA 和 Exchange Server 5.5
如何配置 IIS 中的身份验证启动“IIS 管理器”或者打开 IIS 管理单元。 Server_name,其中 Server_name 是服务器的名称,然后网站。 在控制台树中,右键单击您要配置身份验证的网站、虚拟目录或文件,然后单击属性。 单击目录安全性或文件安全性选项卡(根据需要),然后在“匿名和访问控制”下单击编辑。 单击以选中您要使用的一种或多种身份验证方法旁边的复选框,然后单击确定。 默认设置的身份验证方法是“匿名访问”和“集成 Windows 身份验证”: 匿名访问:如果启用了匿名访问,访问站点时,不要求提供经过身份验证的用户凭据。当需要让大家公开访问那些没有安全要求的信息时,使用此选项最合适。用户尝试连接您的网站时,IIS 会将该连接分配给 IUSER_ComputerName 帐户,其中 ComputerName 是运行 IIS 的服务器的名称。默认情况下,IUSER_ComputerName 帐户为 Guests 组的成员。此组具有 NTFS 文件系统权限所规定的安全限制,这些限制指定访问级别以及可提供给公共用户的内容的类型。要编辑用于匿名访问的 Windows 帐户,请在“匿名访问”框中单击浏览。
⑦ 我在服务器上的iis上的身份验证选项中去掉了匿名访问,启用了集成windows身份验证
在客户端访问时弹出windows验证对话框,如何设用户名和密码?在哪里设置的?具体操作如下:
1、如果您的服务器尚未安装IIS,可以参考如下的安装说明,否则请跳过此节。nbsp;在“控制面板”的“添加/删除程序”窗口左侧选择“添加/删除nbsp;Windowsnbsp;组件”,稍候弹出一组件选择窗口,单击“确定”回到上一窗口,单击“下一步”,插入Windows安装光盘,等待完成即可。
2、nbsp;安装结束后,将增加两项系统服务,为“IISnbsp;Adminnbsp;Services”和“Worldnbsp;Widenbsp;Webnbsp;Publishingnbsp;Service”,要使IIS服务器运行,这两项服务缺一不可。另外,如果您使用Windowsnbsp;2000/XPnbsp;Professional版操作系统,那么并发连接数被限制在10个。nbsp;打开浏览器,在地址栏输入“localhost”或“127.0.0.1”,如果能看到关于IIS的页面,则说明IIS安装成功。
3、可以在IIS管理器中连接远程IIS服务器,在左方树形列表的根“Internetnbsp;信息服务”单击右键,输入计算机名、IP、或域名。nbsp;设置Web根目录:nbsp;展开计算机名,右键单击其下的“默认Web站点”,选择“属性”,在“主目录”页的“内容来源”选择“此计算机上的目录”,然后在其下的“本地路径”中输入Web根目录所在的实际位置。
4、可以在Web根目录下新建gbook目录,将留言本程序复制到该目录下。如果根目录没有分配脚本执行权限,您可以另建含有脚本权限的虚拟目录。方法是在“默认Web站点”上点击右键,选择“新建”→“虚拟目录”,在向导的别名中输入“gbook”,目录可以选择与Web根目录不同的位置,权限选择“读取”和“运行脚本”。然后按照设置Web根目录的方法,同样在“属性”中添加默认文档“index.asp”。
⑧ loadrunner遇到windows集成身份验证怎么办
我抓了下web提示身份验证的流程消息,发现弹出windows集成身份验证时发送到本地内的是401鉴权消息,之后输入用户容名和密码会给服务器发送401带鉴权信息的消息,也就是说LR模拟要通过验证需要组装这样一条401消息发送给服务器,这条401消息里需要注意这两个地方:1.cookie:这个从服务器发给本地的第一条401里有,通过LR里注册web_reg_save_param函数获取。2.Authorization:这个是软件系统通过算法将你的用户名和密码加密后得到的,这个算法需要开发人员提供,LR处理的时候可以将该算法封装成DLL导入到LR里,然后引用DLL算法计算出Authorization消息内容。
抓取消息的方法:如果是web端的HTTP消息,通过httpwatch工具抓取(记得把加密协议去掉,这个找开发把加密代码注释掉)。
如果是C/S架构的客户端消息,通过wireshark等工具抓取(还是要把加密协议去掉)。
⑨ 统一身份认证的统一身份认证(IDS)系统
1、IDS功能概述
统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理,实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能,用户登录到一个系统后,再转入到其他应用系统时不需要再次登录,简化了用户的操作,也保证了同一用户在不同的应用系统中身份的一致性。
图: 统一身份认证示意图
如上图所示,IDS通过WebService对外发布认证服务,实现了平台的无关性,能与各种主机、各种应用系统对接。另外,IDS还提供了一套标准的接口,保证的IDS与各种应用系统之间对接的易操作性。
IDS的主要功能如下:
1)用户管理 :实现用户与组织创建、删除、维护与同步等功能;
2)用户认证:通过SOA服务,支持第三方认证系统;
3)单点登录 :共享多应用系统之间的用户认证信息,实现在多个应用系统间自由切换;
4)分级管理 :实现管理功能的分散,支持对用户、组织等管理功能的分级委托;
5)权限管理: 系统提供了统一的,可以扩展的权限管理及接口,支持第三方应用系统通过接口获取用户权限。
6)会话管理: 查看、浏览与检索用户登录情况,管理员可以在线强制用户退出当前的应用登录;
7)支持Windows、Linux、Solaris等操作系统;支持Tomcat、WebLogic、WebSphere等应用服务器;支持SQL Server等数据库系统;
2、IDS的结构
统一身份认证通过统一管理不同应用体系身份存贮方式、统一认证的方式,使同一用户在所有应用系统中的身份一致,应用程序不必关心身份的认证过程。
从结构上来看,统一身份认证系统由统一身份认证管理模块、统一身份认证服务器、身份信息存贮服务器三大部分组成。
其中统一身份认证管理模块由管理工具和管理服务组成,实现用户组管理、用户管理;管理工具实现界面操作,并把操作数据递交给管理服务器,管理服务器在修改存贮服务器中的内容。
统一身份认证服务器向应用程序提供统一的Webservice认证服务。它接收应用程序传递过来的用户名和密码,验证通过后把用户的认证令牌返回给应用程序。
身份存储服务器存储身份、权限数据。其中身份存储服务器可以选择关系型数据库、LDAP目录、AD等。另外可以将CA发放的数字证书存储在身份存储服务器。
如下图所示:
3、IDS的特点
1)方便实用
实现单点登录(SSO)。用户一次登录后,就可以依靠认证令牌在不同系统之间切换。
IDS所有的管理功能都是基于页面实现的,管理员只要通过浏览器即可完成管理工作。
提出了分级管理员的概念,使管理大量用户变成了可能。
2)跨平台
IDS的实现基于SOA架构
接口采用SOAP XML标准,可跨平台与多种类型的应用系统对接
3)支持多种身份存在方式
支持通用关系型数据库
LDAP目录
Microsoft Active Directory(AD)
4)安全可靠
系统能够集成成熟的认证体系:CA,可以保证交易和企业内部活动中的身份不可抵赖,用户签名无法伪造。
系统在数据传输过程中,支持HTTPS方式的数据加密传输,阻止数据被监听、分析。
系统能够定义管理多种权限级别策略。
