iis的5中验详解.docxVIP

一、 IIS的身份验证概述IIS具有身份验证功能，可以有以下几种验证方式：1、 匿名访问这种方式不验证访问用户的身份，客户端不需要提供任何身份验证的凭据，服务端把这样的访问作为匿名的访问，并把这样的访问用户都映射到一个服务端的账户，一般为IUSER_MACHINE这个用户，可以修改映射到的用户：2、 集成windows身份验证这种验证方式里面也分为两种情况2.1. NTLM验证这种验证方式需要把用户的用户名和密码传送到服务端，服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送，但是密码经过处理后派生出一个8字节的key加密质询码后传送。2.2. Kerberos验证这种验证方式只把客户端访问IIS的验证票发送到IIS服务器，IIS收到这个票据就能确定客户端的身份，不需要传送用户的密码。需要kerberos验证的用户一定是域用户。每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票（TGT）作为这个用户访问其他服务所要验证票的凭证（这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能），而访问IIS服务器的验证票是通过此用户的票据授权票（TGT）向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。下面是kerberos比较详细的原理。Kerberos原理介绍：工