Microsoft интерпретирует часть спецификаций дайджест-аутентификации несколько иначе, чем другие организации, такие как Apache Foundation (которая распространяет Web-сервер Apache) и проект Mozilla (сопровождающий Web-браузеры Mozilla). В настоящее время дайджест-аутентификация IIS Digest работает только в Internet Explorer 5.0 и более поздних его версиях.
Другое ограничение дайджест-аутентификации в IIS заключается в том, что она функционирует только когда виртуальный каталог, подлежащий аутентификации, запущен на контролере домена Active Directory или управляется им.
Интегрированная Windows-аутентификация — наиболее удобная для WAN-ориентированных и LAN-ориентированных intranet-приложений, поскольку выполняет аутентификацию, не требуя никакого вмешательства клиента. Когда IIS просит клиента аутентифицировать себя, браузер отправляет маркер, который представляет пользовательская учетная запись Windows текущего пользователя. Если Web-сервер не может аутентифицировать пользователя по этой информации, появляется диалоговое окно, в котором пользователь может ввести другое имя пользователя и пароль.
Чтобы работала интегрированная Windows-аутентификация, и Web-сервер, и клиент должны находиться в одной локальной сети. Это объясняется тем, что интегрированная Windows-аутентификация на самом деле не пересылает информации об имени и пароле пользователя. Вместо этого она координируется с сервером домена или экземпляром Active Directory, где был зарегистрирован пользователь, и заставляет этот компьютер отправить аутентифицируюшую информацию Web-серверу.
Протокол, используемый для передачи аутентифицирующей информации — либо NTLM (NT LAN Manager), либо Kerberos 5 — в зависимости от версий операционной системы клиента и сервера. Если на обоих работает Windows 2000 или выше, и обе машины входят в домен Active Directory, то в качестве протокола аутентификации применяется Kerberos 5; в противном случае будет использована аутентификация NTLM. Оба протокола в высшей степени безопасны (Kerberos — вообще самый безопасный протокол из всех доступных), но оба имеют свои ограничения. Таким образом, вообще интегрированная аутентификация работает только в Internet Explorer 2.0 или выше (интегрированная Windows-аутентификация не поддерживается клиентами, не использующими Internet Explorer). Kerberos, конечно, работает только с машинами, на которых функционирует Windows 2000 или выше, и ни один из двух протоколов не может работать через прокси-сервер. В дополнение, Kerberos требует открытия некоторых дополнительных портов в брандмауэрах. В следующих разделах главы вы ознакомитесь с основами протоколов аутентификации, применяемых для интегрированной Windows-аутентификации. Эти концепции помогут вам понять необходимые шаги конфигурации, особенно для заимствования прав и делегирования.
Аутентификация NTLM интегрирована в Windows с того момента, как она получила встроенную поддержку сети. NTLM аутентифицирует клиентов через механизм "вызов-ответ", основанный на трехстороннем квитировании между клиентом и сервером. Все, о чем вы узнаете из этого раздела, выполняется в операционной системе автоматически. Конечно, это работает только в том случае, когда и клиент, и сервер работают под управлением Windows.
предыдущая следующая страница вначало главы оглавление
902