>当您从 Internet Server API (ISAPI) 扩展、Active Server Pages (ASP) 页或“通用网关接口”(CGI) 应用程序访问的文件所在的计算机不是 Internet Information Server (IIS) 服务器时,可能会遇到一些问题,本文提供与这些问题相关的信息。本文列出涉及到的一些问题和可能的解决方法。 虽然本文主要针对访问网络共享位置上的文件而写,但相同的概念也适用于命名管道连接。命名管道通常用于 SQL Server 连接和远程过程调用 (RPC) 及“组件对象模型”(COM) 通信。尤其是,如果通过配置为使用“Microsoft Windows NT 集成安全性” 的网络连接到 SQL Server,则会因本文所述的问题而无法连接。RPC 和 COM 也可能使用其他具有类似网络身份验证方案的通信机制。因此,本文中的概念适用于从您的 IIS 应用程序使用的各种网络通信机制。
• “不”允许网络令牌访问网络资源。(之所以将它命名为网络令牌,原因是此类令牌过去通常是当用户在整个网络中经过身份验证时由服务器创建的。允许服务器使用网络令牌充当网络客户端并访问其他服务器,这种做法称为“委派”且被视为潜在的安全漏洞。) • 过去,当在计算机上对本地用户进行身份验证时会使用交互式令牌。允许交互式令牌访问整个网络的资源。 • 批处理令牌旨在为批处理作业的运行提供安全上下文。批处理令牌具有网络访问权限。
身份验证和模拟类型
当 IIS 为 HTTP 请求提供服务时,IIS 将执行模拟,以便对处理请求的资源访问权限进行适当的限制。模拟的安全上下文基于为请求执行的身份验证类型。IIS 4.0 提供五种不同的身份验证类型:身份验证类型 模拟类型 匿名访问(无身份验证) 网络 自动密码同步为 ON(ON=默认值) 匿名访问(无身份验证) IIS 明文 自动密码同步为 OFF 基本身份验证 IIS 明文 NT 质询/响应身份验证 网络 客户端 SSL 证书映射 交互式
令牌类型
是否允许访问网络资源取决于在什么类型的模拟令牌下处理请求。• “不”允许网络令牌访问网络资源。(之所以将它命名为网络令牌,原因是此类令牌过去通常是当用户在整个网络中经过身份验证时由服务器创建的。允许服务器使用网络令牌充当网络客户端并访问其他服务器,这种做法称为“委派”且被视为潜在的安全漏洞。) • 过去,当在计算机上对本地用户进行身份验证时会使用交互式令牌。允许交互式令牌访问整个网络的资源。 • 批处理令牌旨在为批处理作业的运行提供安全上下文。批处理令牌具有网络访问权限。
