51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

IIS服务器身份验证的方式与基本原理

原创
作者:李洋
系统 Windows
IIS服务器在使用的时候会有很多用户访问,服务器的管理员需要知道IIS服务器的身份验证方式与基本的原理,这样管理起来才能更加安全。

【51CTO独家特稿】之前我们介绍了攻击悄然来临 该如何保障IIS安全。IIS服务器有是微软推出的一个强大的服务器,他可以实行多种用户身份验证。很多管理员由于不了解相关的方式和原理,导致了整个服务器的瘫痪。能够熟练的掌握IIS服务器的用户验证原理就可以避免这样的悲剧发生。

IIS服务器具有身份验证功能,可以有以下几种验证方式:

匿名访问

这种方式不验证访问用户的身份,客户端不需要提供任何身份验证的凭据,服务端把这样的访问作为匿名的访问,并把这样的访问用户都映射到一个服务端的账户,一般为IUSER_MACHINE这个用户,可以修改映射到的用户:

集成windows身份验证

这种验证方式里面也分为两种情况

NTLM验证

这种验证方式需要把用户的用户名和密码传送到服务端,服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送,但是密码经过处理后派生出一个8字节的key加密质询码后传送。

Kerberos验证

这种验证方式只把客户端访问IIS的验证票发送到IIS服务器,IIS收到这个票据就能确定客户端的身份,不需要传送用户的密码。需要kerberos验证的用户一定是域用户。

每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票(TGT)作为这个用户访问其他服务所要验证票的凭证(这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能),而访问IIS服务器的验证票是通过此用户的票据授权票(TGT)向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。

下面是kerberos比较详细的原理。

Kerberos原理介绍:

工作站端运行着一个票据授权的服务,叫Kinit,专门用做工作站同认证服务器Kerberos间的身份认证的服务。

1. 用户开始登录,输入用户名,验证服务器收到用户名,在用户数据库中查找这个用户,结果发现了这个用户。

2. 验证服务器生成一个验证服务器跟这个登录用户之间共享的一个会话口令(Session key),这个口令只有验证服务器跟这个登录用户之间使用,用来做相互验证对方使用。同时验证服务器给这个登录用户生成一个票据授权票(ticket-granting ticket),工作站以后就可以凭这个票据授权票来向验证服务器请求其他的票据,而不用再次验证自己的身份了。验证服务器把{ Session key + ticket-granting ticket }用登录用户的口令加密后发回到工作站。

3. 工作站用自己的口令解密验证服务器返回的数据包,如果解密正确则验证成功。解密后能够获得登录用户与验证服务器共享的Session key和一张ticket-granting ticket。到此,登录用户没有在网络上发送口令,通过验证服务器使用用户口令加密验证授权票的方法验证了用户,用户跟验证服务器之间建立了关系,在工作站上也保存来相应的身份证明,以后要是用网络中的其他服务,可以通过这个身份证明向验证服务器申请相应服务器的服务票,来获得相应服务身份验证。

4. 如果用户第一次访问IIS服务器,工作站的kinit查看本机上没有访问IIS服务器的验证票,于是kinit会向验证服务器发出请求,请求访问IIS服务的验证票。Kinit先要生成一个验证器,验证器是这样的:{用户名:工作站地址}用跟验证服务器间的Session key加密。Kinit将验证器、票据授权票、你的名字、你的工作站地址、IIS服务名字发送的验证服务器,验证服务器验证验证授权票真实有效,然后用跟你共享的Session key解开验证器,获取其中的用户名和地址,与发送这个请求的用户和地址比较,如果相符,说明验证通过,这个请求合法。

5. 验证服务器先生成这个用户跟IIS服务器之间的Session key会话口令,之后根据用户请求生成IIS服务器的验证票,是这个样子的:{会话口令:用户名:用户机器地址:服务名:有效期:时间戳},这个验证票用IIS服务器的密码(验证服务器知道所有授权服务的密码)进行加密形成最终的验证票。最后,验证服务器{会话口令+加好密的验证票}用用户口令加密后发送给用户。

6. 工作站收到验证服务器返回的数据包,用自己的口令解密,获得跟IIS服务器的Session key和IIS服务器的验证票。

7. 工作站kinit同样要生成一个验证器,验证器是这样的:{用户名:工作站地址}用跟IIS服务器间的Session key加密。将验证器和IIS验证票一起发送到IIS服务器。

8.IIS服务器先用自己的服务器密码解开IIS验证票,如果解密成功,说明此验证票真实有效,然后查看此验证票是否在有效期内,在有效期内,用验证票中带的会话口令去解密验证器,获得其中的用户名和工作站地址,如果跟验证票中的用户名和地址相符则说明发送此验证票的用户就是验证票的所有者,从而验证本次请求有效。

基本身份验证

这种验证方式完全是把用户名和明文用明文(经过base64编码,但是base64编码不是加密的,经过转换就能转换成原始的明文)传送到服务端验证。服务器直接验证服务器本地是否用用户跟客户端提供的用户名和密码相匹配的,如果有则通过验证。

【51CTO独家特稿,合作站点转载请注明原文译者和出处。】

【编辑推荐】

  1. Microsoft FTP Service 7.5 for IIS 7.0 (x86)
  2. Win Server 2008 R2中IIS 7.5的改进
  3. 攻击悄然来临 该如何保障IIS安全
  4. 解惑IIS无法添加映射之谜
  5. .NET角色在IIS 7.0中的配置

 

责任编辑:张浩 来源: 51CTO.com
IIS服务器
相关推荐
DHCP服务器基本原理和配置
下面我们主要讲解一下DHCP服务器的相关内容。首先我们来简单介绍一下它的基本概念,之后对于它的工作原理和配置内容进行了具体的介绍。

2010-08-23 16:52:37

DHCP服务器
Telnet服务器身份验证
文章摘要:下面我们来对Telnet服务器的身份验证系统进行一下介绍。那么如何配置这个呢?文章中就详细介绍了一下,希望能够帮助大家理解这些内容。

2010-07-19 17:30:47

聊聊Sockmap基本原理
sockmap是BPF程序的一种map类型,顾名思义,这种map类型中存储的是对structsock的引用。熟悉网络的同学知道structsock是套接字在网络层的表示,因此利用sockmap我们可以在网络层上对TCP套接字进行一些自定义处理和操纵。

2021-02-08 21:40:04

SockmapBPF存储
SQL Server 2008更改服务器身份验证基本模式
我们今天主要向大家描述的是SQLServer2008更改服务器身份验证模式的实际操作流程,以及对其设置的安全说明,以下就是文章的主要内容描述。

2010-07-09 15:24:29

jQuery基本原理
jQuery是目前使用最广泛的javascript函数库。据统计,全世界排名前100万的网站,有46%使用jQuery,远远超过其他库。微软公司甚至把jQuery作为他们的官方库。对于网页开发者来说,学会jQuery是必要的。因为它让你了解业界最通用的技术,为将来学习更高级的库打下基础,并且确实可以很轻松地做出许多复杂的效果。

2012-01-12 14:37:34

jQuery
CSS Hack基本原理和实现方式
CSShack是因为现有浏览器对标准的解析不同,为了兼容各浏览器,所采用的一种补救方法;CSShack也是一种类似作弊的手段,以欺骗浏览器的方式达到兼容的目的。

2010-09-15 15:48:09

CSS Hack
容器技术发展基本原理
从容器的发展历程可以看到,容器在出现的早期并没有得到人们的广泛关注,主要原因是当时开放的云计算环境还没出现或者未成为主流。2010年之后,随着IaaS、PaaS和SaaS等云平台逐渐成熟,用户对云端应用开发、部署和运维的效率不断重视,重新发掘了容器的价值,最终促成了容器技术的盛行。

2020-11-26 13:54:03

容器LinuxDocker
IPSec VPN基本原理
IPSecVPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSecVPN的原理。

2011-11-29 12:17:00

SQL Server 2008正确更改服务器身份验证
本文主要讲述的是SQLServer2008数据库正确更改服务器身份验证的基本模式,下面就是文章的主要内容描述,望大家会有所收获。

2010-06-28 11:28:26

PHP中IIS7实现基本身份验证方法
本文介绍的是在PHP运行环境中配置IIS7实现基本身份验证的方法,希望对你有帮助,一起来看。

2011-06-15 16:43:31

PHPIIS7
Android应用基本原理
Android应用程序是用Java语言编写的。编译过后的字节码,以及应用程序要求的其他数据和资源文件,通过aapt工具被绑定在一起,称为Android包,这是一个带.apk后缀的档案文件。这个文件也是用户下载到他们设备上的文件。所有的代码在一个单一的.apk文件中,组成一个“应用程序”。

2013-04-07 14:09:55

Android应用基本
OFDM技术基本原理
在传统的多载波通信系统中,整个系统频带被划分为若干个互相分离的子信道(载波)。载波之间有一定的保护间隔,接收端通过滤波器把各个子信道分离之后接收所需信息.

2010-08-20 13:29:33

OFDM
手机定位基本原理
目前智能手机的使用已经越来越普遍,手机定位也是手机上的一个核心基础功能。举一个常见的应用如叫车,司机需要知道你在哪里,同时打车软件也需要基于司机和乘客的位置规划一条路线,让司机更高效的行驶到用户这里。这就是典型的定位服务的应用。

2020-03-21 14:57:14

手机定位智能手机APP
IP电话基本原理
通过语音压缩算法对语音信号进行压缩编码处理,然后把这些语音数据按TCPIP标准进行打包,经过网络把数据包发送到接收地;接收端把这些语音数据包串起来,经过解码解压缩处理后恢复成原来的语音信号,从而达到由互联网传送语音的目的。

2009-02-24 09:43:00

IP电话原理
IIS服务中五种身份验证灵活运用
作为微软最经典的Web服务之一的IIS服务有大致上五种Web身份认证方法。身份认证时保障IIS服务安全的根本,所以熟练并且灵活的掌握IIS服务身份认证方法是十分重要的。

2010-05-27 13:32:36

IIS服务安全认证
深谈云计算基本原理
这里介绍云计算(CloudComputing)是分布式处理(DistributedComputing)、并行处理(ParallelComputing)和网格计算(GridComputing)的发展,或者说是这些计算机科学概念的商业实现。

2010-03-17 13:35:02

IIS服务器验证服务器讲解
我们在文章中,验证服务器先生成这个用户跟IIS服务器之间的Sessionkey会话口令,之后根据用户请求生成IIS服务器的验证票。

2010-05-19 15:00:37

IIS服务器
网络爬虫基本原理(一)
网络爬虫是捜索引擎抓取系统的重要组成部分。爬虫的主要目的是将互联网上的网页下载到本地形成一个或联网内容的镜像备份。这篇文章主要对爬虫以及抓取系统进行一个简单的概述。

2016-08-17 23:53:29

网络爬虫抓取系统
身份验证管理交付方式
不同厂商的各种产品之间存在着差异,他们都希望自己的身份验证管理解决方案能够更加吸引用户的眼球。因此我们看到了不同的软件套装和交付方式。而后者就是我们本文讨论的话题。

2009-04-09 23:44:08

软件身份验证用户
内存数据库基本原理应用
内存数据库,顾名思义就是将数据放在内存中直接操作的数据库。相对于磁盘,内存的数据读写速度要高出几个数量级,将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能。同时,内存数据库抛弃了磁盘数据管理的传统方式,基于全部数据都在内存中重新设计了体系结构,并且在数据缓存、快速算法、并行操作方面也进行了相应的改进,所以数据处理速度比...

2013-09-22 14:02:09

内存数据库
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服