Iis 7 使用IIS 7摘要身份验证对目录进行密码保护
这可能只是我对这个问题的误解,但我希望能找到一个简单的答案 我运行一个web服务器供自己使用,原因很多,只是为了有一个域名来引用我在家里的网络 由于获得了MS慈善许可证,我刚刚部署了Sever 2008 Enterprise。它比我以前在XP上安装的IIS5好多了 我仍然在玩弄广告组和用户,但现在我只想用密码保护这个盒子web端的几个文件夹 假设我去domain.com,没问题。我想让公众进入那里,而且效果很好。但是如果我访问domain.com/private,我希望它能提供一个用户/密码框。我以前通过使用一个名为IISPassword的廉价程序实现了这一点,该程序使用.htaccess/.htpasswd文件 在阅读IIS7的功能时,我开始对摘要认证感兴趣。知道basic auth将以明文形式传输密码,我决定这将是一个更好的选择 我已经在/private文件夹上设置了禁用所有其他方法(anon、basic)的权限,并且仅在IIS MMC中启用摘要。我没有修改NTFS级别的文件夹权限(仅域组,IUSR没有条目)。查看页面时,我得到的所有响应都是错误500 我承认,我对这一级别的管理仍然是新手,我非常感谢能为实现这一级别的保护提供的任何帮助。我可以使用广告认证,但我认为我仍然停留在“为什么我得到的是500而不是凭证提示”上 谢谢!Iis 7 使用IIS 7摘要身份验证对目录进行密码保护,iis-7,windows-server-2008,password-protection,digest-authentication,Iis 7,Windows Server 2008,Password Protection,Digest Authentication,这可能只是我对这个问题的误解,但我希望能找到一个简单的答案 我运行一个web服务器供自己使用,原因很多,只是为了有一个域名来引用我在家里的网络 由于获得了MS慈善许可证,我刚刚部署了Sever 2008 Enterprise。它比我以前在XP上安装的IIS5好多了 我仍然在玩弄广告组和用户,但现在我只想用密码保护这个盒子web端的几个文件夹 假设我去domain.com,没问题。我想让公众进入那里,而且效果很好。但是如果我访问domain.com/private,我希望它能提供一个用户/密码框。
乔恩我没有100%的答案给你,但我知道。听起来好像是在集成模式下从IIS7中删除的
请阅读那篇文章中的答案。它可能会帮助你:)我没有100%的答案给你,但我知道。听起来好像是在集成模式下从IIS7中删除的
请阅读那篇文章中的答案。它可能会帮助您:)谢谢您的输入
当我迁移所有内容时,我也移动了错误页面。通过localhost测试后,我发现它不允许绝对路径。。。长话短说,我改变了它搜索404和401错误页面的方式,现在它不在我身上。问题仍然是,除非我在本地主机的机器上测试密码,否则它不会提示输入密码。任何其他机器都会立即抛出401.htm页面。谢谢您的输入
当我迁移所有内容时,我也移动了错误页面。通过localhost测试后,我发现它不允许绝对路径。。。长话短说,我改变了它搜索404和401错误页面的方式,现在它不在我身上。问题仍然是,除非我在本地主机的机器上测试密码,否则它不会提示输入密码。任何其他机器都会立即抛出401.htm页面。你可能会得到很多这样的信息,因为任何必须实现一种或另一种安全访问的人都会受到足够的攻击,因此实现任何真正的加密都至少是困难的,并且需要大量的工作。(并不是说你不是) 我想冒昧地猜测一下,如果你是MS charity license,这在某种程度上取决于你必须保护什么有价值的财产——传输强消息摘要的结果与传输“pw”是一样的,消息摘要的用途是你将消息摘要存储在服务器端的某个地方,这样如果毛茸茸的大猩猩,渣滓怪物让邪恶孪生兄弟在你的系统中漫步,密码无法从消息摘要中恢复 即使整个磁盘都丢失了,按照几个地方的标准形式故障场景(而不是引起注意,让我告诉你这是一个噩梦场景),那么Big Time Finance World Corp……也不会出现大量欺诈探测器,。。。。可能会有一些在这里和那里,但没有浪潮或突发事件 将资金留在银行,阅读2002年萨班斯-奥克斯利法案,使用小商店安全模式,不要试图处理扭曲的姐妹,将其留给其他人。基本的身份验证发送是明确的,你应该担心的不是数据包嗅探器——如果是这样的话,最近在Heartland的中断告诉我们,只有硬件加密/解密在敌对用户中有任何用处,距离爱丽丝梦游仙境不远 当我上来的时候,大多数现在被重视的东西都会让我们挨揍,今天你会因此而获奖 阅读毛文博的前言 消息编辑:你能告诉我7c6a180b36896a0a8c02787eeafb0e4c来自哪里吗?也不能是双绞线(!) 消息编辑: RFC2617-HTTP身份验证:基本和摘要访问身份验证 RFC 3540-具有nonce的鲁棒显式拥塞通知(ECN)信令 RFC 4418-UMAC:使用通用哈希的消息身份验证代码
无论你做什么,都要使用已有的工具。你很可能会得到很多这样的东西,因为任何必须实现某种安全访问的人都会受到足够的攻击,因此实现任何真正的加密至少是困难的,并且需要大量的工作。(并不是说你不是) 我想冒昧地猜测一下,如果你是MS charity license,这在某种程度上取决于你必须保护什么有价值的财产——传输强消息摘要的结果与传输“pw”是一样的,消息摘要的用途是你将消息摘要存储在服务器端的某个地方,这样如果毛茸茸的大猩猩,渣滓怪物让邪恶孪生兄弟在你的系统中漫步,密码无法从消息摘要中恢复 即使整个磁盘都丢失了,根据标准的形式故障场景,在几个地方(与其引起注意,不如让我来告诉你