整合式 Windows 驗證(Integrated Windows Authentication, IWA)
整合式 Windows 驗證 (IWA) 包含兩種獨立的驗證機制。第一種是 NTLM (在舊版本的 IIS 中也稱為 NT 挑戰/回應)。NTLM 是 Microsoft 專利技術,從開始到現在已經推出數個版序。NTLM v2 是 NTLM 的最新版本,它會使用複雜的挑戰/回應和雜湊演算法來保護使用者認證的傳輸安全。此通訊協定應該嚴密鎖定,以避免駭客嘗試使用舊有、已知及薄弱的通訊協定,如 NTLM v1。如需如何限制系統只使用 NTLM v2 的資訊,請參閱下文:
<如何啟用 NTLM v2 驗證> (英文)
http://support.microsoft.com/kb/239869/en-us
雖然 NTLM 是專利通訊協定,但已獲得大多數現代瀏覽器的廣泛支援,包括 Firefox、Internet Explorer 和 Opera。NTLM 驗證需要 HTTP 持續作用,否則便無法驗證,而且它無法透過多數的 Proxy 伺服器運作 (因為這些 Proxy 伺服器多半不允許持續作用)。
Kerberos 驗證最初是由麻省理工學院 (MIT) 開發的驗證技術。這是一項健全的驗證機制,利用共用密碼來保護使用者認證的安全,並使用時間戳記來預防轉送攻擊。各種網頁伺服器和多數的用戶端瀏覽器都廣泛支援此機制。IIS 透過交涉授權 HTTP (Negotiate Authorization HTTP) 標頭來實作 Kerberos 驗證。交涉標頭可讓用戶端和伺服器交涉普遍支援的驗證機制。
Kerberos (不同於 NTLM 或摘要式) 可以接受委派,這表示使用者的認證可以流動至遠端服務 (例如 SQL Server)。這是因為 IIS 會應驗證要求呼叫 LogonUser API,如果回應為「是」,則 IIS 便會取得權杖然後繼續進行。只要使用的權限正確,這項作業可說是非常準確且容易委派。下列 TechNet 文件提供了設定委派的資訊:<疑難排解 Kerberos 委派> (英文)。
<如何啟用 NTLM v2 驗證> (英文)
http://support.microsoft.com/kb/239869/en-us
雖然 NTLM 是專利通訊協定,但已獲得大多數現代瀏覽器的廣泛支援,包括 Firefox、Internet Explorer 和 Opera。NTLM 驗證需要 HTTP 持續作用,否則便無法驗證,而且它無法透過多數的 Proxy 伺服器運作 (因為這些 Proxy 伺服器多半不允許持續作用)。
Kerberos 驗證最初是由麻省理工學院 (MIT) 開發的驗證技術。這是一項健全的驗證機制,利用共用密碼來保護使用者認證的安全,並使用時間戳記來預防轉送攻擊。各種網頁伺服器和多數的用戶端瀏覽器都廣泛支援此機制。IIS 透過交涉授權 HTTP (Negotiate Authorization HTTP) 標頭來實作 Kerberos 驗證。交涉標頭可讓用戶端和伺服器交涉普遍支援的驗證機制。
Kerberos (不同於 NTLM 或摘要式) 可以接受委派,這表示使用者的認證可以流動至遠端服務 (例如 SQL Server)。這是因為 IIS 會應驗證要求呼叫 LogonUser API,如果回應為「是」,則 IIS 便會取得權杖然後繼續進行。只要使用的權限正確,這項作業可說是非常準確且容易委派。下列 TechNet 文件提供了設定委派的資訊:<疑難排解 Kerberos 委派> (英文)。
Comments