这可能只是我对这个问题的误解,但我希望找到一个简单的答案。
我运行一个Web服务器供我自己使用,原因很多,所以我有一个域名来引用我家里的网络。
我刚刚部署了Server 2008 Enterprise,这要归功于获得MS慈善许可证。它比以前的XP设置上的IIS 5要好得多。
我仍然在玩AD组和用户,但是现在我只想密码保护这个盒子的网络侧的几个文件夹。
说我去domain.com,没问题。我想在那里公共访问,它工作得很好。但是,如果我访问domain.com/private,我希望它能够提供用户/传递框。之前我通过使用一个名为IISPassword的廉价程序来实现这一目标,该程序使用了.htaccess / .htpasswd文件。
在阅读IIS7的功能时,我开始对摘要式身份验证感兴趣。知道基本身份验证会以明文形式传输密码,我认为这将是一个非常优越的选择。
我已在/ private文件夹上设置权限以禁用所有其他方法(anon,basic),并且仅在IIS MMC中启用摘要。我没有修改NTFS级别的文件夹权限(只是域组,IUSR没有条目)。我在查看页面时得到的回应是错误500。
我承认我仍然是这个级别的管理新手,并且非常感谢我能够获得这种保护级别的任何帮助。我可以使用AD身份验证,但我认为我仍然坚持'为什么我得到500而不是凭据提示'
谢谢!乔恩
我没有100%的答案,但我asked this same question。听起来它已经在INTEGRATED模式下从IIS7中删除了。
请阅读该帖子中的答案。它可能会帮助你:)
谢谢您的意见!
当我迁移所有内容时,我也移动了错误页面。在通过localhost测试之后,我发现它不允许绝对路径......长话短说我改变了搜索404和401错误页面的方式,现在它对我来说不是500。问题仍然是它不会提示输入密码,除非我从localhost在机器上测试它。任何其他机器立即抛出401.htm页面。
好吧,你可能会得到很多,因为任何必须实现这种或那种安全访问的人都会有足够的攻击来实现任何真正的加密将至少是困难的并且需要大量的工作。 (不是你不是)
我想冒险猜测,如果你是MS慈善许可证,那么它取决于你必须保护的有价值的财产 - 传递强烈消息摘要的结果与透明地发送'pw'相同,是什么消息摘要用于将消息摘要存储在服务器端的某个地方,这样如果毛茸茸的大猩猩,Muck Monster将邪恶的双胞胎送进你的系统,密码就无法从消息摘要中恢复。
即使整个磁盘丢失,按照几个地方的标准形式故障情况(而不是吸引注意力,让我告诉你这是噩梦般的情况)然后在Big Time Finance World Corp没有大量的欺诈探测器, ....可能有一些在这里和那里但没有波浪或一连串的事件。
将资金存入银行,阅读2002年的萨班斯 - 奥克斯利法案,使用小商店安全模式,不要试图与Twisted Sister打交道,留给别人。基本身份验证发送清楚,不是你应该担心的数据包嗅探器 - 如果它是最近在Heartland的休息时间告诉故事只有硬件加密/解密在敌对用户区中有任何用处,距离爱丽丝梦游仙境很近。
现在我所看到的大部分事情会让我们在上学时受到打击,今天你会获得奖励。
阅读文博毛的序言。
消息编辑:你能告诉我7c6a180b36896a0a8c02787eeafb0e4c来自哪里吗?也不能扭曲双胞胎(!)
消息编辑:
RFC 2617 - HTTP身份验证:基本和摘要访问身份验证
RFC 3540 - 使用随机数的强健显式拥塞通知(ECN)信令
RFC 4418 - UMAC:使用通用哈希的消息验证代码
无论你做什么,都要使用既定的工具。