Active-Directory

IIS 7.5 基本身份驗證和 Active Directory 驗證

  • December 22, 2011

無論如何,我都不是 IIS 或 Active Directory 專家,所以我想在這裡展示一個場景,看看我們想要完成的事情是否可行。

我們有一個託管在 Windows Server 2008 R2 上的應用程序,其中包含一系列通過 IIS 公開為 API 的 Web 服務。這些服務將被多個外部集成系統呼叫。如果我們將 IIS 服務配置為使用基本身份驗證,則 IIS 預設會根據 Active Directory 驗證我們傳遞給它的憑據,這是一個特殊的配置設置,還是不可能?我們希望針對 AD 驗證這些憑據,因此我們會收到令牌/委託人作為回報,它可以發送到該伺服器上的底層應用程序。

提前致謝。任何幫助表示讚賞。

基本身份驗證可以很好地針對 AD 進行身份驗證 - 它針對 IIS 伺服器的本地帳戶數據庫進行身份驗證;對於域成員,包括其加入的林中的 Active Directory 域。

作為回報,您不會得到任何類型的 kerberos 票證 - 基本身份驗證只是將密碼包含在發送到伺服器的請求的標頭中,伺服器會按照它的方式處理它 - 返回請求的資源或401錯誤.. 但是如果您要在 IIS 內的 Web 應用程序中查找使用者標識,那麼程式碼應該可以使用該資訊(他們作為哪個使用者/域進行身份驗證)。

瀏覽器將在會話的整個生命週期內將輸入的密碼保存在記憶體中,因此您將被覆蓋到該伺服器的後續請求,但不會覆蓋對其他系統或服務的任何訪問。

這裡有關於配置基本身份驗證的資訊,包括配置預設域和使用者收到的提示。

引用自:https://serverfault.com/questions/343179