认证配置与故障排除全解析
1. 外网用户认证流程
为外网用户提供支持时,可使用包括 Kerberos 在内的多种认证协议,具体步骤如下:
1.建立连接与身份验证:外网用户通过 SSL 连接到 Web 服务器,系统会提示输入用户名和密码,也可用证书机制替代。
2.账户查找与票据发放:IIS 在 Active Directory 中查找用户账户。若用户名和密码正确,会生成凭证包,并以用户名义向 IIS 服务器发放 Kerberos 票据(TGT)。若使用证书,会根据证书信息映射到 Active Directory 中的账户并发放 TGT,此时使用 Kerberos 进行认证。
3.请求数据库访问:IIS 服务器使用外网用户的凭证,通过 Kerberos 请求访问数据库服务器,获取 Web 应用所需数据,还可更新或添加新数据。
4.数据库认证与访问控制:数据库服务器验证 Kerberos 票据中的用户凭证,然后使用 ACL(访问控制列表)决定是否允许访问数据。
外网用户使用证书或用户名和密码认证本质上都会映射到 Active Directory 中的账户,通过该账户在内部资源的 ACL 中确定是否允许访问。VPN 客户端和内部网络客户端访问应用的方式类似,但 VPN 客户端带宽小,性能较慢,它们都可使用胖客户端软件或 Web 应用。
2. 信任关系
信任关系允许 Windows 2000 Active Directory 域将一个域的用户添加到另一个域资源的
