Uwierzytelnienie - informacje

Od użytkowników próbujących ustanowić połączenie FTP lub WWW (HTTP) można żądać podania prawidłowej nazwy konta użytkownika systemu Windows NT i hasła. Taki proces identyfikacji, nazywany powszechnie uwierzytelnianiem, jest niezastąpioną metodą ograniczenia dostępu do zawartości serwera.

Uwierzytelnienie WWW

Zazwyczaj wszyscy użytkownicy próbujący ustanowić połączenie WWW (HTTP) z serwerem sieci Web logują się jako użytkownicy anonimowi. Kiedy użytkownik ustanowi połączenie anonimowe, serwer sieci Web musi zalogować go z kontem anonimowym lub kontem gościa (czyli prawidłowym kontem użytkownika systemu Windows NT z ograniczeniami dostępu do plików i katalogów, do których użytkownik anonimowy ma dostęp).

Aby zapobiec połączeniu się użytkowników anonimowych z zawartością o ograniczonym dostępie, można skonfigurować serwer sieci Web na uwierzytelnianie użytkowników. Proces uwierzytelnienia obejmuje monitowanie użytkowników o unikatową nazwę użytkownika i hasło. Informacje te muszą odpowiadać prawidłowemu kontu użytkownika systemu Windows NT, którego poziom dostępu do plików i katalogów określają uprawnienia systemu plików Windows NT (NTFS).

Serwer sieci Web uwierzytelni użytkowników tylko wtedy, gdy:

W obu wymienionych przypadkach serwer sieci Web odmawia ustanowienia połączenia anonimowego i próbuje zidentyfikować użytkowników na podstawie zadanej metody uwierzytelnienia. Obecnie serwer sieci Web obsługuje następujące metody uwierzytelniania certyfikatu klienta: uwierzytelnienie podstawowe, Windows NT Wezwanie/Odpowiedź i SSL. Przez włączanie różnych kombinacji tych metod uwierzytelniania, poza ustawieniem konta użytkownika anonimowego, można ustanowić różne poziomy kontroli, określające, którzy użytkownicy mogą połączyć się z daną zawartością sieci Web.

Uwierzytelnienie podstawowe

Metoda uwierzytelnienia podstawowego jest szeroko używaną, będącą standardem przemysłowym, metodą pobierania nazwy użytkownika i hasła. Jeśli uwierzytelnienie podstawowe jest włączone, przeglądarka sieci Web użytkownika wyświetla okno dialogowe, w którym użytkownik wprowadza przypisaną mu uprzednio nazwę konta użytkownika systemu Windows NT i hasło. Przeglądarka sieci Web próbuje następnie ustanowić połączenie, korzystając z tych informacji. Jeśli serwer odrzuci podane informacje, przeglądarka sieci Web kontynuuje wyświetlanie okna dialogowego (liczba wyświetleń zależy od konfiguracji przeglądarki sieci Web), dopóki użytkownik nie wprowadzi prawidłowej nazwy i hasła, albo zamyka to okno dialogowe. Gdy serwer sieci Web sprawdzi, że nazwa użytkownika i hasło odpowiadają prawidłowemu kontu systemu Windows NT, użytkownik może ustanowić połączenie. Więcej informacji można znaleźć w temacie Włączanie uwierzytelnienia podstawowego.

Mimo jej powszechności, metoda ta nie jest zalecana, o ile administrator nie ma pewności, że połączenie między użytkownikiem a serwerem sieci Web jest bezpieczne. Przeglądarki sieci Web używające uwierzytelnienia podstawowego przesyłają nazwę użytkownika i hasło bez ich szyfrowania. Jakiś uparty wandal komputerowy próbujący złamać ustawione zabezpieczenia mógłby użyć narzędzi do monitorowania sieci, aby przechwycić te informacje. (Alternatywnym podejściem, które umożliwia użycie uwierzytelnienia podstawowego bez groźby przechwycenia informacji o koncie, jest skorzystanie z funkcji bezpiecznej komunikacji SSL serwera sieci Web do zaszyfrowania informacji o haśle. Więcej informacji można znaleźć w temacie Szyfrowanie.

Uwierzytelnienie Windows NT Wezwanie/Odpowiedź

Serwer sieci Web obsługuje uwierzytelnienie Windows NT Wezwanie/Odpowiedź, które uwierzytelnia użytkowników bez potrzeby przesyłania haseł siecią. Obecnie jedyną przeglądarką sieci Web obsługującą tę metodę uwierzytelnienia jest program Microsoft Internet Explorer w wersji 2.0 lub nowszej.

Jeśli włączone jest uwierzytelnienie Windows NT Wezwanie/Odpowiedź, przeglądarka Internet Explorer użytkownika potwierdza swoją znajomość hasła poprzez wymianę zaszyfrowanych danych z serwerem sieci Web. Faktyczne hasło nigdy nie jest przesyłane przez sieć i użytkownik nie jest monitowany o podanie informacji na temat konta.

Jeśli jednak zidentyfikowanie użytkownika przez wymianę tych danych okaże się niemożliwe, program Internet Explorer wyświetli monit o podanie nazwy użytkownika systemu Windows NT i hasła, które to informacje zostaną przetworzone przy użyciu tej samej metody Windows NT Wezwanie/Odpowiedź. Program Internet Explorer będzie monitował użytkownika, dopóki nie wprowadzi on prawidłowej nazwy użytkownika i hasła, lub zamknie okno dialogowe z monitem.

Notka   

Uwierzytelnienie Windows NT Wezwanie/Odpowiedź jest szczególnie użyteczne w środowisku intranetowym, w którym oba komputery, komputer użytkownika i serwer sieci Web, należą do tej samej domeny i w którym administrator może zapewnić, że każdy użytkownik ma tę samą wersję programu Microsoft Internet Explorer.

Uwierzytelnienie SSL certyfikatu klienta

Do uwierzytelnienia użytkowników można również użyć funkcji zabezpieczeń Secure Sockets Layer (SSL) 3.0 serwera sieci Web. Uwierzytelnienie odbywa się w tym przypadku przez sprawdzenie zaszyfrowanego identyfikatora cyfrowego przesłanego przez przeglądarkę sieci Web użytkownika podczas procesu logowania. Użytkownicy otrzymują te cyfrowe identyfikatory, nazywane certyfikatami klientów, od cieszących się powszechnym zaufaniem organizacji. Certyfikaty klientów zawierają zwykle unikatowe informacje o użytkowniku i organizacji, która wydała certyfikat. Więcej informacji można znaleźć w temacie Certyfikaty klientów - informacje.

Notka   Serwer sieci Web obsługuje również protokół Private Communication Technology (PCT) 1.0.

Mapowanie certyfikatu klienta

Serwer sieci Web ma funkcję mapowania certyfikatu klienta, która uwierzytelnia użytkowników logujących się z certyfikatami klientów nie żądając użycia uwierzytelnienia podstawowego ani uwierzytelnienia Windows NT Wezwanie/Odpowiedź. Mapowanie wiąże zawartość certyfikatu klienta z odpowiadającym mu kontem w systemie Windows NT, plikiem definiującym prawa i założenia dostępu dotyczące danego użytkownika. Po utworzeniu i włączeniu mapowania, ilekroć użytkownik loguje się używając certyfikatu klienta, serwer sieci Web automatycznie łączy, albo mapuje, tego użytkownika z odpowiednim kontem Windows NT. Więcej informacji można znaleźć w temacie Mapowanie certyfikatów klientów na konta użytkowników.

Certyfikaty klientów a uwierzytelnianie użytkowników anonimowych

Używając certyfikatów klientów można również sterować tym, którzy użytkownicy mogą ustanowić połączenie anonimowe z serwerem sieci Web. Na przykład, ograniczenie możliwości połączeń anonimowych może być użyteczne, jeśli dana witryna sieci Web zawiera informacje poufne, przeznaczone tylko dla pracowników określonej firmy. Gdy użytkownik próbuje ustanowić połączenie anonimowe, serwer sieci Web może sprawdzać, czy użytkownik, który nadesłał certyfikat klienta, jest pracownikiem danej firmy.

Ograniczając liczbę użytkowników anonimowych poprzez uwierzytelnianie certyfikatów klientów, można zmniejszyć obciążenie sieci i sprawować lepszy nadzór nad prywatnością zawartości sieci Web. Więcej informacji można znaleźć w temacie Certyfikaty klientów - informacje.

Metody uwierzytelnienia FTP

Aby ustanowić połączenie FTP z serwerem sieci Web, użytkownicy muszą logować się z nazwą użytkownika i hasłem odpowiadającym prawidłowemu kontu w systemie Windows NT. Jeśli serwer sieci Web nie może zweryfikować tożsamości użytkownika, zwracany jest komunikat o błędzie. Uwierzytelnienie FTP nie jest bezpieczne, ponieważ nazwa użytkownika i hasło są przesyłane przez sieć bez szyfrowania. Więcej informacji można znaleźć w temacie Kontrola dostępu - informacje.


© 1998 Microsoft Corporation. Wszelkie prawa zastrzeżone.