前提: 做公司内网,要求公司员工使用自己的域账户进行登录,所以就做了一个windows系统集成验证的方式。首先在webconfig里配置,把forms验证改成windows集成验证,然后在IIS部署的时候,把windows集成验证打开,否则不通过哦。这样登录验证的方式做好了。
我们公司内网又不读域控用户的分组,所以不采取这种方式做权限划分。把用户表也存入数据库,当用户登录的时候,首先通过域控获取到用户名,然后会从数据库获取到是哪个用户。给用户加权限划分的表,给用户赋值权限。网站做了登录,没有做登出。
部署之后,第一次访问网站需要输入域控用户名和密码。
有些员工并不知道出现这样的界面,是需要输入自己计算机的域控用户名和密码的。 后来IT给员工电脑做了一个组策略,访问本网站直接自动读取域控的用户名和密码,直接登录,完美!
并不能登出,或者切换用户访问网站哦。
不用手动输入用户名和密码的介绍:
我希望IE不要提示我再一次输入我的用户名和密码。
接下来我教大家一个方法让IE变得聪明一点,不在找我要用户名和密码。我将该站点的网址加入到IE的“本地Intranet”区域。
对于部署之后,全员访问的话,请采用 组策略的方式。
===============================题外===============================================
- 摘要:具体是采用Kerberos还是NTLM验证方式取决于以下三种情况1.客户端以ip地址访问服务器不管客户端跟服务器是否在域、也不管客户端是否以域帐号登陆,只要客户端以ip地址访问服务器,那么客户端就会选择NTLM方式验证并且不会直接发送客户端登录用户的用户名和密码给服务器而是会弹出一个对话框要求用户输入用户名和口令,然后发送到服务端验证。 您可以避免在使用IP地址或名称中包含句点的企业内部网服务器
-
具体是采用Kerberos 还是NTLM验证方式取决于以下三种情况
1.客户端以ip地址访问服务器
不管客户端跟服务器是否在域、也不管客户端是否以域帐号登陆,只要客户端以ip地址访问服务器,
-
那么客户端就会选择NTLM方式验证
-
并且不会直接发送客户端登录用户的用户名和密码给服务器
-
而是会弹出一个对话框要求用户输入用户名和口令,然后发送到服务端验证。
您可以避免在使用 IP 地址或名称中包含句点的企业内部网服务器上出现这种提示,方法是,在 Internet Explorer 的“本地 Intranet”设置中,列出包含 IP 地址的服务器,或是列出包含句点的服务器名称。可以通过依次单击“工具”、“Internet 选项”、“本地 Intranet”、“站点”、“高级”来访问“本地 Intranet”设置部分。然后在“将该网站添加到区域中”输入 http://127.0.0.1 或其他相关站点的 URL。
下面总结的都是在客户端以机器名访问服务器的情况。
2. 服务器在域,客户端以域帐号登陆
如果客户端的机器在域中,同时登陆用户又是以域用户登录,那么IE选择Kerberos验证方式。
3. 其他情况IE都选择采用NTLM验证方式。
出来上述的两种情况,其他情况,客户端都选择NTLM验证,并首先尝试把登录客户端用户的用户名和密码传送给服务器验证,
- 如果验证通过了,被直接授权访问;
- 如果验证没通过,客户端弹出对话框要求输入用户名和密码,然后再传送到服务端验证,直到验证通过。
集成 Windows 身份验证Kerberos的验证方式是 Intranet 环境中最好的身份验证方案:
- 在这种用户拥有 Windows 域帐户,Kerberos验证不在网络上传递用户密码,只用传送一个用户验证票。
- NTLM要传送用户的密码,但是密码经过处理后派生出一个8字节的key加密质询码,也是比较安全的。
以上是
-
集成验证时IE采用Kerberos 还是NTLM验证方式?(摘抄)
-
的内容。