27、认证配置与故障排除全解析

认证配置与故障排除全解析

1. 外网用户认证流程

为外网用户提供支持时，可使用包括 Kerberos 在内的多种认证协议，具体步骤如下：
1.建立连接与身份验证：外网用户通过 SSL 连接到 Web 服务器，系统会提示输入用户名和密码，也可用证书机制替代。
2.账户查找与票据发放：IIS 在 Active Directory 中查找用户账户。若用户名和密码正确，会生成凭证包，并以用户名义向 IIS 服务器发放 Kerberos 票据（TGT）。若使用证书，会根据证书信息映射到 Active Directory 中的账户并发放 TGT，此时使用 Kerberos 进行认证。
3.请求数据库访问：IIS 服务器使用外网用户的凭证，通过 Kerberos 请求访问数据库服务器，获取 Web 应用所需数据，还可更新或添加新数据。
4.数据库认证与访问控制：数据库服务器验证 Kerberos 票据中的用户凭证，然后使用 ACL（访问控制列表）决定是否允许访问数据。

外网用户使用证书或用户名和密码认证本质上都会映射到 Active Directory 中的账户，通过该账户在内部资源的 ACL 中确定是否允许访问。VPN 客户端和内部网络客户端访问应用的方式类似，但 VPN 客户端带宽小，性能较慢，它们都可使用胖客户端软件或 Web 应用。

2. 信任关系

信任关系允许 Windows 2000 Active Directory 域将一个域的用户添加到另一个域资源的