IIS服务中五种身份验证的灵活运用

1、一、匿名身份认证如果启用了匿名访问，访问站点时，不要求提供经过身份认证的用户凭据。当需要让大家公开访问那些没有安全要求的信息时，使用此选项最合适。IIS 创建 IUSR_ComputerName 帐户（其中 ComputerName 是正在运行 IIS服务器的名称），用来在匿名用户请求 Web 内容时对他们进行身份认证。此帐户授予用户本地登录权限。用户可以将匿名用户访问重置为使用任何有效的 Windows 帐户。用户可以为不同的网站、虚拟目录、物理目录和文件建立不同的匿名帐户。如果基于 Windows Server 2003 的计算机是独立服务器，则 IUSR_ComputerName 帐户位于本地服务器上。如果该服务器是域控制器，则 IUSR_ComputerName 帐户是针对该域定义的。

3、三、Windows 集成身份认证Windows 集成身份认证比基本身份认证安全，而且在用户具有 Windows 域帐户的内部网环境中能很好地发挥作用。在集成 Windows 身份认证中，浏览器尝试使用当前用户在域登录过程中使用的凭据，如果此尝试失败，就会提示该用户输入用户名和密码。如果用户使用集成 Windows 身份认证，则用户的密码将不传送到服务器。如果用户作为域用户登录到本地计算机，则此用户在访问该域中的网络计算机时不必再次进行身份认证。集成身份认证以前称为 NTLM 或 Windows NT 质询/响应身份认证，此方法以 Kerberos 票证的形式通过网络向用户发送身份认证信息，并提供较高的安全级别。Windows 集成身份认证使用 Kerberos 版本 5 和 NTLM 身份认证。注意：如果选择了多个身份认证选项，IIS服务 会首先尝试协商最安全的方法，然后它按可用身份认证协议的列表向下逐个试用其他协议，直到找到客户端和服务器都支持的某种共有的身份认证协议。

5、五、Microsoft .NET Passport 身份认证.NET Passport 身份认证提供了单一登录安全性，为用户提供对 Internet 上各种服务的访问权限。如果选择此选项，对 IIS服务 的请求必须在查询字符串或 Cookie 中包含有效的 .NET Passport 凭据。如果 IIS服务 不检测 .NET Passport 凭据，请求就会被重定向到 .NET Passport 登录页。并且，如果选择此选项，所有其他身份认证方法都将不可用。