Проверка подлинности с запросом


Предыдущая | Следующая

Проверка подлинности с запросом

Пользователи, которые получают доступ к защищенным веб-сайтам в Интернете, обычно вводят пользовательское имя и пароль или выполняют такие действия, как размещение онлайновых заказов. В 11$ поддерживаются три метода обеспечения безопасности для пользователей, которые пытаются получить доступ к веб-содержимому, защищенному с помощью разрешений файловой системы. Каждый из этих трех методов отправляет пакет-запроС HTTP 401, в котором пользователю предлагается предоставить учетные данные. Далее описаны эти методы.

■ Обычная проверка подлинности (Basic Authentication) Пересылка пакета-запроса проверки подлинности веб-пользователям с применением стандартного метода, поддерживаемого всеми веб-браузерами. Основной недостаток обычной проверки подлинности состоит в том, что предоставляемые пользователям данные кодируются, но не шифруются. Это означает, что в случае перехвата информации можно без труда получить пользовательское имя и пароль. Для безопасной передачи данных проверки подлинности следует обеспечить безопасность сети (например, в среде центра данных) или включить шифрование с использованием протокола SSL или TLS.

■ Сжатая проверка подлинности Дайджест (Digest Authentication) При такой проверке подлинности для обеспечения метода защищенной передачи учетных данных используется протокол HTTP 1.1, Для аутентификации пользователя используется контроллер домена Windows. Потенциальный недостаток такой проверки подлинности состоит в том, что веб-браузеры клиентов должны поддерживать протокол HTTP 1.1, Текущие версии распространенных браузеров поддерживают этот метод, так что сжатую проверку подлинности можно использовать для Интернета и интрасетей.

■ Проверка подлинности Windows (Windows Authentication) Обеспечивает защищенную проверку подлинности, которую легко администрировать. . В ней протокол аутентификации NTLM или Kerberos применяется для подтверждения реквизитов пользователей в соответствии с доменом Windows или локальной базой данных безопасности. Проверка подлинности Windows изначально предназначена для использования в интрасетях, где клиенты и веб-серверы являются членами одного домена. Для упрощения администрирования системные администраторы могут управлять доступом к содержимому с помощью доменных учетных записей Active Directory.

Один из важных нюансов методов проверки подлинности с запросом связан с их взаимодействием с анонимной проверкой подлинности. Чтобы от пользователей требовался ввод учетных данных перед получением доступа к веб-содержим ом у, нужно отключить анонимную проверку подлинности. Если анонимная проверка подлинности останется включенной, содержимое, не защищенное с помощью разрешений файловой системы, будет автоматически доступно для пользователей без аутентификации. Кроме того, вы не сможете включить для одного содержимого оба метода проверки подлинности с помощью форм и с использованием пакетов-запросов.

содержание: Развертывание и настройка Windows Server 2008