關於IIS身份驗證的方法

一、身份驗證方法
　　
　　注意：使用下列某些身份驗證方法時，您必須使用已用 NTFS 文件系統格式化的驅動器，因為 NTFS 格式化的驅動器的安全級別最高。
　　
　　IIS 支持以下幾種 Web 身份驗證方法。
　　
　　1、匿名身份驗證
　　
　　IIS 創建 IUSR_ComputerName 帳戶（其中 ComputerName 是正在運行 IIS 的服務器的名稱），用來在匿名用戶請求 Web 內容時對他們進行身份驗證。此帳戶授予用戶本地登錄權限。您可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
　　
　　注意：您可以為不同的網站、虛擬目錄、物理目錄和文件建立不同的匿名帳戶。
　　
　　如果基於 Windows Server 2003 的計算機是獨立服務器，則 IUSR_ComputerName 帳戶位於本地服務器上。如果該服務器是域控制器，則 IUSR_ComputerName 帳戶是針對該域定義的。
　　
　　2、基本身份驗證
　　
　　使用基本身份驗證可限制對 NTFS 格式的 Web 服務器上文件的訪問。使用基本身份驗證，用戶必須輸入憑據，而且訪問是基於用戶 ID 的。用戶 ID 和密碼都以明文形式在網絡間進行發送。
　　
　　要使用基本身份驗證，請授予每個用戶進行本地登錄的權限，為了使管理更加容易，請將每個用戶都添加到可以訪問所需文件的組中。
　　
　　注意：因為用戶憑據是使用 Base64 編碼技術編碼的，但它們在通過網絡傳輸時不經過加密，所以基本身份驗證被認為是一種不安全的身份驗證方式。
　　
　　3、Windows 集成身份驗證
　　
　　Windows 集成身份驗證比基本身份驗證安全，而且在用戶具有 Windows 域帳戶的內部網環境中能很好地發揮作用。在集成 Windows 身份驗證中，瀏覽器嘗試使用當前用戶在域登錄過程中使用的憑據，如果此嘗試失敗，就會提示該用戶輸入用戶名和密碼。如果您使用集成 Windows 身份驗證，則用戶的密碼將不傳送到服務器。如果用戶作為域用戶登錄到本地計算機，則此用戶在訪問該域中的網絡計算機時不必再次進行身份驗證。請注意，如果您使用的是 Windows 集成身份驗證，則必須使用 Microsoft Internet Explorer 2.0 或更高版本作為 Web 瀏覽器。
　　
　　注意：您不能通過代理服務器使用集成 Windows 身份驗證。
　　
　　4、摘要式身份驗證
　　
　　摘要式身份驗證克服了基本身份驗證的許多缺點。在使用摘要式身份驗證時，密碼不是以明文形式發送的。另外，您可以通過代理服務器使用摘要式身份驗證。摘要式身份驗證使用一種質詢/響應機制（集成 Windows 身份驗證使用的機制），其中的密碼是以加密形式發送的。要使用摘要式身份驗證，請注意下列要求：
　　
　　用戶和 IIS 服務器必須是同一個域的成員或被同一個域信任。
　　
　　用戶必須有一個存儲在域控制器上 Active Directory 中的有效 Windows 用戶帳戶。
　　
　　該域必須使用 Microsoft Windows 2000 或更高版本的域控制器。
　　
　　必須將 IISSuba.dll 文件安裝到域控制器上。此文件會在 Windows 2000 或 Windows Server 2003 的安裝過程中自動復制。
　　
　　必須將所有用戶帳戶配置為選擇“使用可逆的加密保存密碼”帳戶選項。要選擇此帳戶選項，必須重置或重新輸入密碼。
　　
　　注意：如果您使用的是摘要式身份驗證，則必須使用 Microsoft Internet Explorer 5.0 或更高版本作為您的 Web 瀏覽器。
　　
　　5、.NET Passport 身份驗證
　　
　　Microsoft .NET Passport 是一項用戶身份驗證服務，它允許單一簽入安全性，可使用戶在訪問啟用了 .NET Passport 的網站和服務時更加安全。啟用了 .NET Passport 的站點依靠 .NET Passport 中央服務器來對用戶進行身份驗證。但是，該中央服務器不會授權或拒絕特定用戶對各個啟用了 .NET Passport 的站點進行訪問。控制用戶的權限由網站負責。選擇此選項時，對 IIS 的請求必須在查詢字符串或 Cookie 中包含有效的 .NET Passport 憑據。如果 IIS 不檢測 .NET Passport 憑據，這些請求就會被重定向到 .NET Passport 登錄頁。
　　
　　6、客戶證書映射
　　
　　客戶證書映射是一種在證書和用戶帳戶之間創建映射的方法。在此模型中，用戶提供一個證書，系統檢查此映射以確定應登錄到哪個用戶帳戶。您可以使用以下兩種方法之一將證書映射到 Windows 用戶帳戶：
　　
　　通過使用 Active Directory。
　　
　　- 或者 -
　　
　　通過使用 IIS 中定義的規則。
　　
　　有關如何將客戶證書映射到用戶帳戶的其他信息，請在 IIS 文檔中搜索“客戶證書映射”。如果安裝了 IIS，則可以通過下列方式之一訪問幫助文件：
　　
　　右鍵單擊 Internet 服務管理器中的任一節點，然后單擊“幫助”。
　　
　　- 或者 -
　　
　　啟動 Windows 資源管理器，找到 hard disk:\Windows\Help 文件夾，然后打開 Lismmc.chm http://www.iis7.com/b/ssyqdq/
　　
　　您可以配置各種身份驗證方法，以便控制對 IIS 服務器中以下項目的訪問：
　　
　　1、IIS 服務器上托管的所有 Web 內容。
　　
　　2、IIS 服務器上托管的各個網站。
　　
　　3、網站中的各個虛擬目錄或物理目錄。
　　
　　4、網站中的各個網頁或文件。