第一次翻译,选了个精致的,希望对朋友们有所帮助
原文链接:http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/36ea667e-c578-43b5-87fa-a2f174efb27a.mspx?mfr=true
假如你的网络服务器包含不想被匿名访问或公开访问(anonymous or public access)的内容,那么选择使用IIS中的认证是有些危险的,但是经核准的用户当然需要有通过网络访问服务器的权利。比如,你在服务器上运行 Microsoft® Outlook® Web Access或者 or the Microsoft Terminal Services Advanced Client, 你必须设置一个合适的认证方式来控制用户对服务器程序的访问. 这是你就可以要求用户提供一个有效的 Microsoft® Windows®用户名以及密码以便访问服务器上的信息. 这个识别的过程被称为认证(authentication), 并且就像IIS的许多其他特性一样认证可以在Web site, directory, or file三个级别设置.
IIS 6.0 支持以下的认证方法:
1 匿名认证,这种认证方法允许任何人访问网站的公共区域并且不需要提供用户名和密码
2 基本认证,这种认证方法会提示用户输入用户名和密码,也成为(Credenials),这个信用证书在未加密的情况下在网络中传输。
3 Digest authentication(消化认证?),这种认证方法和基本认证很像,除了密码是作为Hash value的形式在网上传送以增加保密性。Digest authentication只在域(Domain)内有效。并且网络控制器(domain conroller)必须在在 Windows Server 操作系统上运行。
4 高级Digest authentication,这种认证方法和Digest authentication是基本一样的,除了它将用户的信任证书以MD5 hash的形式保存在网络控制器的活动目录(Active Directory)中。
5 WIndows嵌入认证(Integrated Windows authentication),这种认证方法在用户名和密码传送之前使用hash技术对他们加密。
6 UNC认证, 这种认证将用户的信用证书传送到拥有Universal Naming Convention share的计算机中
7 .NET Passport Authentication(.NET护照认证?),这种认证方法是一种用户认证服务。这个服务会为网络用户创造一个单一的用户名以及密码,用以登录所有激活.NET Passport认证的网站或网络服务。这些网站或网络服务通过.NET Passport中央服务器来认证用户;而激活.NET Passport认证的网站并不拥有自己的认证系统。
8 证书认证(Certificate authentication),这种认证方法使用SSL证书来认证服务器或者客户。
|
匿名认证
|
无
|
N/A
|
Yes
|
任何浏览器
|
|
基本认证
|
低
|
Base64 encoded clear text
|
Yes, 但是透过代理服务器或防火墙以clear text 的形式发送密码是有安全隐患的,因为 Base64 encoded clear text 并没有被加密
|
大多数浏览器
|
|
Digest 认证
|
中
|
Hashed
|
Yes
|
IE5+
|
|
高级 Digest 认证
|
中
|
Hashed
|
Yes
|
IE5+
|
|
Windows 嵌入认证
|
高
|
当使用NTLM时,Hashed;当使用Kerberos时,Kerberos ticket。
|
No,除非使用PPTP链接
|
IE2+ for NTLM; Windows 2000+with IE5+ for Kerberos
|
|
证书认证
|
高
|
N/A
|
Yes, 使用SSL链接
|
IE 和 Netscape
|
|
.NET Passport 认证
|
高
|
加密的
|
Yes, 使用SSL链接
|
IE 和 Netscape
|
假如你准备进行多重认证,IIS会试图筛选出最严格的方法,然后再依次对其他可行的认证协议进行认证,直到找到一个被客户端和服务器都支持的认证。
你可以对FTP网站提供以下认证方法作为安全策略:
| • |
匿名FTP认证. 这种认证允许用户在不提供用户名和密码的情况下访问公共区域
|
| • |
基本FTP认证. 这种认证方法需要用户用相应的windows账户登录.
|