前提: 做公司內網,要求公司員工使用自己的域賬戶進行登錄,所以就做了一個windows系統集成驗證的方式。首先在webconfig里配置,把forms驗證改成windows集成驗證,然后在IIS部署的時候,把windows集成驗證打開,否則不通過哦。這樣登錄驗證的方式做好了。
我們公司內網又不讀域控用戶的分組,所以不采取這種方式做權限划分。把用戶表也存入數據庫,當用戶登錄的時候,首先通過域控獲取到用戶名,然后會從數據庫獲取到是哪個用戶。給用戶加權限划分的表,給用戶賦值權限。網站做了登錄,沒有做登出。
部署之后,第一次訪問網站需要輸入域控用戶名和密碼。
有些員工並不知道出現這樣的界面,是需要輸入自己計算機的域控用戶名和密碼的。 后來IT給員工電腦做了一個組策略,訪問本網站直接自動讀取域控的用戶名和密碼,直接登錄,完美!
並不能登出,或者切換用戶訪問網站哦。
不用手動輸入用戶名和密碼的介紹:
我希望IE不要提示我再一次輸入我的用戶名和密碼。
接下來我教大家一個方法讓IE變得聰明一點,不在找我要用戶名和密碼。我將該站點的網址加入到IE的“本地Intranet”區域。
對於部署之后,全員訪問的話,請采用 組策略的方式。
===============================題外===============================================
- 摘要:具體是采用Kerberos還是NTLM驗證方式取決於以下三種情況1.客戶端以ip地址訪問服務器不管客戶端跟服務器是否在域、也不管客戶端是否以域帳號登陸,只要客戶端以ip地址訪問服務器,那么客戶端就會選擇NTLM方式驗證並且不會直接發送客戶端登錄用戶的用戶名和密碼給服務器而是會彈出一個對話框要求用戶輸入用戶名和口令,然后發送到服務端驗證。 您可以避免在使用IP地址或名稱中包含句點的企業內部網服務器
-
具體是采用Kerberos 還是NTLM驗證方式取決於以下三種情況
1.客戶端以ip地址訪問服務器
不管客戶端跟服務器是否在域、也不管客戶端是否以域帳號登陸,只要客戶端以ip地址訪問服務器,
-
那么客戶端就會選擇NTLM方式驗證
-
並且不會直接發送客戶端登錄用戶的用戶名和密碼給服務器
-
而是會彈出一個對話框要求用戶輸入用戶名和口令,然后發送到服務端驗證。
您可以避免在使用 IP 地址或名稱中包含句點的企業內部網服務器上出現這種提示,方法是,在 Internet Explorer 的“本地 Intranet”設置中,列出包含 IP 地址的服務器,或是列出包含句點的服務器名稱。可以通過依次單擊“工具”、“Internet 選項”、“本地 Intranet”、“站點”、“高級”來訪問“本地 Intranet”設置部分。然后在“將該網站添加到區域中”輸入 http://127.0.0.1 或其他相關站點的 URL。
下面總結的都是在客戶端以機器名訪問服務器的情況。
2. 服務器在域,客戶端以域帳號登陸
如果客戶端的機器在域中,同時登陸用戶又是以域用戶登錄,那么IE選擇Kerberos驗證方式。
3. 其他情況IE都選擇采用NTLM驗證方式。
出來上述的兩種情況,其他情況,客戶端都選擇NTLM驗證,並首先嘗試把登錄客戶端用戶的用戶名和密碼傳送給服務器驗證,
- 如果驗證通過了,被直接授權訪問;
- 如果驗證沒通過,客戶端彈出對話框要求輸入用戶名和密碼,然后再傳送到服務端驗證,直到驗證通過。
集成 Windows 身份驗證Kerberos的驗證方式是 Intranet 環境中最好的身份驗證方案:
- 在這種用戶擁有 Windows 域帳戶,Kerberos驗證不在網絡上傳遞用戶密碼,只用傳送一個用戶驗證票。
- NTLM要傳送用戶的密碼,但是密碼經過處理后派生出一個8字節的key加密質詢碼,也是比較安全的。
以上是
-
集成驗證時IE采用Kerberos 還是NTLM驗證方式?(摘抄)
-
的內容。