Fatal编程技术网
  • iis-7/
  • Iis 7 使用IIS 7摘要身份验证对目录进行密码保护

Iis 7 使用IIS 7摘要身份验证对目录进行密码保护

iis-7

Iis 7 使用IIS 7摘要身份验证对目录进行密码保护,iis-7,windows-server-2008,password-protection,digest-authentication,Iis 7,Windows Server 2008,Password Protection,Digest Authentication,这可能只是我对这个问题的误解,但我希望能找到一个简单的答案 我运行一个web服务器供自己使用,原因很多,只是为了有一个域名来引用我在家里的网络 由于获得了MS慈善许可证,我刚刚部署了Sever 2008 Enterprise。它比我以前在XP上安装的IIS5好多了 我仍然在玩弄广告组和用户,但现在我只想用密码保护这个盒子web端的几个文件夹 假设我去domain.com,没问题。我想让公众进入那里,而且效果很好。但是如果我访问domain.com/private,我希望它能提供一个用户/密码框。

这可能只是我对这个问题的误解,但我希望能找到一个简单的答案

我运行一个web服务器供自己使用,原因很多,只是为了有一个域名来引用我在家里的网络

由于获得了MS慈善许可证,我刚刚部署了Sever 2008 Enterprise。它比我以前在XP上安装的IIS5好多了

我仍然在玩弄广告组和用户,但现在我只想用密码保护这个盒子web端的几个文件夹

假设我去domain.com,没问题。我想让公众进入那里,而且效果很好。但是如果我访问domain.com/private,我希望它能提供一个用户/密码框。我以前通过使用一个名为IISPassword的廉价程序实现了这一点,该程序使用.htaccess/.htpasswd文件

在阅读IIS7的功能时,我开始对摘要认证感兴趣。知道basic auth将以明文形式传输密码,我决定这将是一个更好的选择

我已经在/private文件夹上设置了禁用所有其他方法(anon、basic)的权限,并且仅在IIS MMC中启用摘要。我没有修改NTFS级别的文件夹权限(仅域组,IUSR没有条目)。查看页面时,我得到的所有响应都是错误500

我承认,我对这一级别的管理仍然是新手,我非常感谢能为实现这一级别的保护提供的任何帮助。我可以使用广告认证,但我认为我仍然停留在“为什么我得到的是500而不是凭证提示”上

谢谢!
乔恩

我没有100%的答案给你,但我知道。听起来好像是在集成模式下从IIS7中删除的

请阅读那篇文章中的答案。它可能会帮助你:)

我没有100%的答案给你,但我知道。听起来好像是在集成模式下从IIS7中删除的

请阅读那篇文章中的答案。它可能会帮助您:)

谢谢您的输入

当我迁移所有内容时,我也移动了错误页面。通过localhost测试后,我发现它不允许绝对路径。。。长话短说,我改变了它搜索404和401错误页面的方式,现在它不在我身上。问题仍然是,除非我在本地主机的机器上测试密码,否则它不会提示输入密码。任何其他机器都会立即抛出401.htm页面。

谢谢您的输入

当我迁移所有内容时,我也移动了错误页面。通过localhost测试后,我发现它不允许绝对路径。。。长话短说,我改变了它搜索404和401错误页面的方式,现在它不在我身上。问题仍然是,除非我在本地主机的机器上测试密码,否则它不会提示输入密码。任何其他机器都会立即抛出401.htm页面。

你可能会得到很多这样的信息,因为任何必须实现一种或另一种安全访问的人都会受到足够的攻击,因此实现任何真正的加密都至少是困难的,并且需要大量的工作。(并不是说你不是)

我想冒昧地猜测一下,如果你是MS charity license,这在某种程度上取决于你必须保护什么有价值的财产——传输强消息摘要的结果与传输“pw”是一样的,消息摘要的用途是你将消息摘要存储在服务器端的某个地方,这样如果毛茸茸的大猩猩,渣滓怪物让邪恶孪生兄弟在你的系统中漫步,密码无法从消息摘要中恢复

即使整个磁盘都丢失了,按照几个地方的标准形式故障场景(而不是引起注意,让我告诉你这是一个噩梦场景),那么Big Time Finance World Corp……也不会出现大量欺诈探测器,。。。。可能会有一些在这里和那里,但没有浪潮或突发事件

将资金留在银行,阅读2002年萨班斯-奥克斯利法案,使用小商店安全模式,不要试图处理扭曲的姐妹,将其留给其他人。基本的身份验证发送是明确的,你应该担心的不是数据包嗅探器——如果是这样的话,最近在Heartland的中断告诉我们,只有硬件加密/解密在敌对用户中有任何用处,距离爱丽丝梦游仙境不远

当我上来的时候,大多数现在被重视的东西都会让我们挨揍,今天你会因此而获奖

阅读毛文博的前言

消息编辑:你能告诉我7c6a180b36896a0a8c02787eeafb0e4c来自哪里吗?也不能是双绞线(

消息编辑:

RFC2617-HTTP身份验证:基本和摘要访问身份验证

RFC 3540-具有nonce的鲁棒显式拥塞通知(ECN)信令

RFC 4418-UMAC:使用通用哈希的消息身份验证代码

无论你做什么,都要使用已有的工具。

你很可能会得到很多这样的东西,因为任何必须实现某种安全访问的人都会受到足够的攻击,因此实现任何真正的加密至少是困难的,并且需要大量的工作。(并不是说你不是)

我想冒昧地猜测一下,如果你是MS charity license,这在某种程度上取决于你必须保护什么有价值的财产——传输强消息摘要的结果与传输“pw”是一样的,消息摘要的用途是你将消息摘要存储在服务器端的某个地方,这样如果毛茸茸的大猩猩,渣滓怪物让邪恶孪生兄弟在你的系统中漫步,密码无法从消息摘要中恢复

即使整个磁盘都丢失了,根据标准的形式故障场景,在几个地方(与其引起注意,不如让我来告诉你