一、IIS的身份驗證概述

1、匿名訪問

2、整合windows身份驗證

2.1.NTLM驗證

2.2.Kerberos驗證

3、基本身份驗證

二、匿名訪問

三、Windows整合驗證

1、NTLM驗證過程

1.1.客戶端選擇NTLM方式

1.2.服務端返回質詢碼

1.3.客戶端加密質詢碼再次傳送請求

1.4.服務端驗證客戶端使用者和密碼

2、Kerberos驗證過程

2.1.客戶端選擇Kerberos驗證

2.2.服務端驗證身份驗證票

3、客戶端和伺服器都不在域中

3.1.客戶端用ip地址訪問服務

3.1.1.客戶端IE申請頁面

3.1.2.服務端返回無授權迴應

3.1.3.客戶端選擇NTLM驗證，要求輸入使用者名稱密碼，請求質詢碼

3.1.4.伺服器返回質詢碼

3.1.5.客戶端傳送使用前面輸入賬戶的密碼加密後的質詢碼

3.1.6.服務端驗證通過，返回資源

3.2.客戶端用機器名訪問伺服器，登入使用者名稱/口令跟伺服器不匹配

3.2.1.客戶端IE申請頁面

3.2.2.服務端返回無授權迴應

3.2.3.客戶端選擇NTLM驗證，請求質詢碼

3.2.4.伺服器返回質詢碼

3.2.5.客戶端傳送用登陸本機的賬戶加密後的質詢碼

3.2.6.服務端返回無授權迴應

3.2.7.客戶端及選選擇NTLM驗證，要求輸入使用者名稱和口令，再次請求質詢碼

3.2.8.服務端返回質詢碼

3.2.9.客戶端傳送使用前面輸入賬戶的密碼加密後的質詢碼

3.2.10.服務端驗證通過，返回資源

3.3.客戶端用機器名訪問伺服器，登入使用者名稱/口令跟伺服器匹配

3.3.1.客戶端IE申請頁面

3.3.2.服務端返回無授權迴應

3.3.3.客戶端選擇NTLM驗證，請求質詢碼

3.3.4.伺服器返回質詢碼

3.3.5.客戶端傳送用登陸本機的賬戶加密後的質詢碼

3.3.6.服務端驗證通過，返回資源

4、客戶端和伺服器都在同一域中

4.1.客戶端用機ip訪問伺服器

4.1.1.客戶端IE申請頁面

4.1.2.服務端返回無授權迴應

4.1.3.

客戶端選擇NTLM驗證，要求輸入使用者名稱密碼，請求質詢碼

4.1.4.伺服器返回質詢碼

4.1.5.客戶端傳送使用前面輸入賬戶的密碼加密後的質詢碼

4.1.6.服務端驗證通過，返回資源

4.2.客戶端用機器名訪問伺服器，客戶端使用者以域賬戶登入

4.2.1.客戶端IE申請頁面

4.2.2.服務端返回無授權迴應

4.2.3.客戶端選擇Kerberos驗證，傳送驗證票到服務端

4.2.4.服務端驗證通過，返回資源

4.3.客戶端用機器名訪問伺服器，客戶端使用者以客戶端本地使用者登入，使用者名稱/口令跟伺服器賬戶不匹配

4.3.1.客戶端IE申請頁面

4.3.2.服務端返回無授權迴應

4.3.3.客戶端選擇NTLM驗證，請求質詢碼

4.3.4.伺服器返回質詢碼

4.3.5.客戶端傳送用登陸本機的賬戶加密後的質詢碼

4.3.6.服務端返回無授權迴應

4.3.7.客戶端及選選擇NTLM驗證，要求輸入使用者名稱和口令，再次請求質詢碼

4.3.8.服務端返回質詢碼

4.3.9.客戶端傳送使用前面輸入賬戶的密碼加密後的質詢碼

4.3.10.服務端驗證通過，返回資源

4.4.客戶端用機器名訪問伺服器，客戶端使用者以客戶端本地使用者登入，使用者名稱/口令跟伺服器賬戶匹配

4.4.1.客戶端IE申請頁面

4.4.2.服務端返回無授權迴應

4.4.3.客戶端選擇NTLM驗證，請求質詢碼

4.4.4.伺服器返回質詢碼

4.4.5.客戶端傳送用登陸本機的賬戶加密後的質詢碼

4.4.6.服務端驗證通過，返回資源

5、整合驗證總結

5.1.客戶端以ip地址訪問伺服器

5.2.伺服器在域，客戶端以域帳號登陸

5.3.其他情況IE都選擇採用NTLM驗證方式。

四、基本身份驗證

1、客戶端IE申請頁面

2、服務端返回無授權迴應，並告知客戶端要求基本身份驗證

3、客戶端彈出對話方塊要求輸入使用者名稱和密碼

4、服務端驗證通過，返回資源

一、IIS的身份驗證概述

IIS具有身份驗證功能，可以有以下幾種驗證方式：

這種方式不驗證訪問使用者的身份，客戶端不需要提供任何身份驗證的憑據，服務端把這樣的訪問作為匿名的訪問，並把這樣的訪問使用者都對映到一個服務端的賬戶，一般為IUSER_MACHINE這個使用者，可以修改對映到的使用者：

2、整合windows身份驗證

這種驗證方式裡面也分為兩種情況

這種驗證方式需要把使用者的使用者名稱和密碼傳送到服務端，服務端驗證使用者名稱和密碼是否和伺服器的此使用者的密碼一致。使用者名稱用明碼傳送，但是密碼經過處理後派生出一個8位元組的key加密質詢碼後傳送。

這種驗證方式只把客戶端訪問IIS的驗證票傳送到IIS伺服器，IIS收到這個票據就能確定客戶端的身份，不需要傳送使用者的密碼。需要kerberos驗證的使用者一定是域使用者。

每一個登入使用者在登入被驗證後都會被域中的驗證伺服器生成一個票據授權票（TGT）作為這個使用者訪問其他服務所要驗證票的憑證（這是為了實現一次登入就能訪問域中所有需要驗證的資源的所謂單點登入SSO功能），而訪問IIS伺服器的驗證票是通過此使用者的票據授權票（TGT）向IIS獲取的。之後此客戶訪問此IIS都使用這個驗證票。同樣訪問其他需要驗證的服務也是憑這個TGT獲取該服務的驗證票。

下面是kerberos比較詳細的原理。

Kerberos原理介紹：

工作站端執行著一個票據授權的服務，叫Kinit，專門用做工作站同認證伺服器Kerberos間的身份認證的服務。

1.使用者開始登入，輸入使用者名稱，驗證伺服器收到使用者名稱，在使用者資料庫中查詢這個使用者，結果發現了這個使用者。

2.驗證伺服器生成一個驗證伺服器跟這個登入使用者之間共享的一個會話口令（Session key），這個口令只有驗證伺服器跟這個登入使用者之間使用，用來做相互驗證對方使用。同時驗證伺服器給這個登入使用者生成一個票據授權票(ticket-granting ticket)，工作站以後就可以憑這個票據授權票來向驗證伺服器請求其他的票據，而不用再次驗證自己的身份了。驗證伺服器把{ Session key＋ ticket-granting ticket }用登入使用者的口令加密後發回到工作站。

3.工作站用自己的口令解密驗證伺服器返回的資料包，如果解密正確則驗證成功。解密後能夠獲得登入使用者與驗證伺服器共享的Session key和一張ticket-granting ticket。

到此，登入使用者沒有在網路上傳送口令，通過驗證伺服器使用使用者口令加密驗證授權票的方法驗證了使用者，使用者跟驗證伺服器之間建立了關係，在工作站上也儲存來相應的身份證明，以後要是用網路中的其他服務，可以通過這個身份證明向驗證伺服器申請相應伺服器的服務票，來獲得相應服務身份驗證。

4.

相關推薦