一、匿名身份認證
如果啟用了匿名通路,通路站點時,不要求提供經過身份認證的使用者憑據。當需要讓大家公開通路那些沒有安全要求的資訊時,使用此選項最合适。iis 建立 iusr_computername 帳戶(其中 computername 是正在運作 iis伺服器的名稱),用來在匿名使用者請求 web 内容時對他們進行身份認證。此帳戶授予使用者本地登入權限。使用者可以将匿名使用者通路重置為使用任何有效的 windows 帳戶。使用者可以為不同的網站、虛拟目錄、實體目錄和檔案建立不同的匿名帳戶。如果基于 windows server 2003 的計算機是獨立伺服器,則 iusr_computername 帳戶位于本地伺服器上。如果該伺服器是域控制器,則 iusr_computername 帳戶是針對該域定義的。
二、基本身份認證
使用基本身份認證可限制對 ntfs 格式的 web 伺服器上檔案的通路。使用基本身份認證,使用者必須輸入憑據,而且通路是基于使用者 id 的。使用者 id 和密碼都以明文形式在網絡間進行發送。要使用基本身份認證,請授予每個使用者進行本地登入的權限,為了使管理更加容易,請将每個使用者都添加到可以通路所需檔案的組中。因為使用者憑據是使用 base64 編碼技術編碼的,但它們在通過網絡傳輸時不經過加密,是以基本身份認證被認為是一種不安全的身份認證方式。
三、windows 內建身份認證
windows 內建身份認證比基本身份認證安全,而且在使用者具有 windows 域帳戶的内部網環境中能很好地發揮作用。在內建 windows 身份認證中,浏覽器嘗試使用目前使用者在域登入過程中使用的憑據,如果此嘗試失敗,就會提示該使用者輸入使用者名和密碼。如果使用者使用內建 windows 身份認證,則使用者的密碼将不傳送到伺服器。如果使用者作為域使用者登入到本地計算機,則此使用者在通路該域中的網絡計算機時不必再次進行身份認證。內建身份認證以前稱為 ntlm 或 windows nt 質詢/響應身份認證,此方法以 kerberos 票證的形式通過網絡向使用者發送身份認證資訊,并提供較高的安全級别。windows 內建身份認證使用 kerberos 版本 5 和 ntlm 身份認證。注意:如果選擇了多個身份認證選項,iis服務 會首先嘗試協商最安全的方法,然後它按可用身份認證協定的清單向下逐個試用其他協定,直到找到用戶端和伺服器都支援的某種共有的身份認證協定。
四、摘要式身份認證
摘要式身份認證需要使用者 id 和密碼,可提供中等的安全級别,如果使用者要允許從公共網絡通路安全資訊,則可以使用這種方法。這種方法與基本身份認證提供的功能相同。摘要式身份認證克服了基本身份認證的許多缺點。在使用摘要式身份認證時,密碼不是以明文形式發送的。另外,使用者可以通過代理伺服器使用摘要式身份認證。摘要式身份認證使用一種質詢/響應機制(內建 windows 身份認證使用的機制),其中的密碼是以加密形式發送的。
要使用摘要式身份認證,必須滿足下述要求:
使用者和 iis 伺服器必須是同一個域的成員或被同一個域信任。
使用者必須有一個存儲在域控制器上 active directory 中的有效 windows 使用者帳戶。
該域必須使用 microsoft windows 2000 或更高版本的域控制器。
必須将 iissuba.dll 檔案安裝到域控制器上。此檔案會在 windows 2000 或 windows server 2003 的安裝過程中自動複制。
必須将所有使用者帳戶配置為選擇“使用可逆的加密儲存密碼”帳戶選項。要選擇此帳戶選項,必須重置或重新輸入密碼。
五、microsoft .net passport 身份認證
.net passport 身份認證提供了單一登入安全性,為使用者提供對 internet 上各種服務的通路權限。如果選擇此選項,對 iis服務 的請求必須在查詢字元串或 cookie 中包含有效的 .net passport 憑據。如果 iis服務 不檢測 .net passport 憑據,請求就會被重定向到 .net passport 登入頁。并且,如果選擇此選項,所有其他身份認證方法都将不可用。
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)