Authentication Web服务器上的集成身份验证-安全性？

我们有自己的网络服务器托管我们的网站，在我们的网络之外对公众开放

我请求在我们的职业页面上创建“内部发布”链接，以根据我们网络的Active Directory列表对用户进行身份验证

我目前有它的设置，使链接击中网站目录结构内的一个页面，该页面的文件夹设置为“集成Windows身份验证”。此页的匿名访问已关闭。如果用户经过身份验证（即：登录到我们的网络或提供适当的凭据），它会将其传递到一个外部职业网站，该网站承载着我们的工作公告。如果他们无法进行身份验证，它将显示一个自定义401错误页面

这很好，但有一个问题。使用IE，人们不能只输入用户名。他们（当然）也需要输入域名。不幸的是，默认的“域”设置为我们网站的URL（www.xyz.com/username）。我希望它自动选择我们的内部域名（aaa/用户名），但我不确定如何做到这一点

另一种选择是使用LDAP和一些ASP脚本来验证用户。我已经有了这个代码，但我不确定这样做的安全后果。基本上，页面将设置为匿名身份验证，如果用户没有登录到我们的网络，他们将使用标准文本框提示输入用户名/密码。然后将其传递给ASP脚本，该脚本根据Active Directory执行LDAP查找。此方法是否存在任何安全问题

你会选择哪种方法

谢谢

编辑：似乎我无法使用用户名/密码组合通过LDAP对ActiveD进行身份验证。所以，忘掉那个选项吧

---

我现在的问题是，如何更改IWA使用的默认“域”？有可能吗？IE似乎默认为“www.xyz.com\username”（我的网站），而不是“aaa\username”（我的域名）。当然，www.xyz.com\username失败，因为我们的ActiveD不在这里。。。这可能吗？我想让它对我们的员工来说尽可能简单。

您不能使用在LDAP中查找用户的脚本对用户进行身份验证。您需要知道用户就是它声称的用户，唯一的方法是让NTLM/Kerberos对用户进行身份验证（即证明用户知道AD中存储的秘密，即密码）。

您无法使用在LDAP中查找用户的脚本对用户进行身份验证。您需要知道用户就是它声称的用户，唯一的方法是让NTLM/Kerberos对用户进行身份验证（即证明用户知道AD中存储的密码）。默认情况下，考虑到NTLM/Kerberos的情况下，考虑到本地Intranet的站点将发送当前登录的用户凭据。因此，您的内部用户甚至不应该看到网络登录框。

对于在内部网络上运行的IE浏览器，网站到一组站点的URL位于本地intranet区域中。默认情况下，考虑到NTLM/Kerberos的情况下，考虑到本地Intranet的站点将发送当前登录的用户凭据。因此，您的内部用户甚至不应该看到网络登录框。

我不想重提一条旧线索，但如果我理解这个问题，答案有点误导。Remus提到的线程是关于仅使用用户名通过LDAP进行身份验证的。正如他指出的那样，这是不可能的。但Kolten的想法似乎是通过LDAP使用用户名和密码进行身份验证。那是。

我不想重提旧思路，但如果我理解这个问题的话，答案有点误导。Remus提到的线程是关于仅使用用户名通过LDAP进行身份验证的。正如他指出的那样，这是不可能的。但Kolten的想法似乎是通过LDAP使用用户名和密码进行身份验证。也就是说。

不，您不能通过查询LDAP对用户进行身份验证。请参见否，您无法通过查询LDAP对用户进行身份验证。查看web服务器是否位于域AAA上？在另一个域上？不是在域上，而是在DMZ中？web服务器位于域AAA上，但也可以从网络外部访问。当用户从外部点击经过身份验证的页面时，它默认为xyz.com域（我们的url），而不是AAA。奇怪的是，Chrome没有问题，用户只需输入没有域的用户名。web服务器在域AAA上？在另一个域上？不是在域上，而是在DMZ中？web服务器位于域AAA上，但也可以从网络外部访问。当用户从外部点击经过身份验证的页面时，它默认为xyz.com域（我们的url），而不是AAA。奇怪的是，Chrome没有问题，用户只需输入用户名而没有域名。