Freigeben über

Digestauthentifizierung <digestAuthentication>

  • Artikel

Übersicht

Das <digestAuthentication>-Element enthält Konfigurationseinstellungen für das Internetinformationsdienste (IIS) 7 Digestauthentifizierungsmodul. Sie konfigurieren dieses Element, um die Digestauthentifizierung zu aktivieren oder zu deaktivieren, und optional können Sie den Digestauthentifizierungsbereich angeben.

Digestauthentifizierung ist nicht so weit verbreitet wie die Standardauthentifizierung, hat jedoch gegenüber der Standardauthentifizierung oder der Windows-Authentifizierung einige deutliche Vorteile. Der Hauptnachteil der Standardauthentifizierung über nicht verschlüsselte Kommunikationsmittel besteht darin, dass der Benutzername und das Kennwort des Clients als Base-64-codierte Klartextnachricht gesendet werden, wodurch es einem böswilligen Benutzer sehr einfach ist, die Kommunikation abzuhören und den Benutzernamen und das Kennwort abzurufen. Die Windows-Authentifizierung behebt dieses Problem durch eine Vielzahl von Sicherheitsoptionen, sie funktioniert jedoch in der Regel nicht in einer Internetumgebung.

Bei der Digestauthentifizierung werden die beiden oben genannten Einschränkungen wie folgt behandelt:

  • Im Gegensatz zum von der Standardauthentifizierung verwendeten Klartextschema sendet die Digestauthentifizierung dem Client einen Hash der Informationen des Clients über den Kommunikationskanal, daher werden der Benutzername und das Kennwort des Clients nie über das Netzwerk gesendet.
  • Die Digestauthentifizierung funktioniert gut über das Internet, wodurch die Digestauthentifizierung für diese Umgebung besser geeignet ist als die Windows-Authentifizierung.

Hinweis

Die Digestauthentifizierung schützt nur den Benutzernamen und das Kennwort des Clients – der Textkörper der HTTP-Kommunikation befindet sich immer noch in Klartext. Um den Textkörper Ihrer Kommunikation zu sichern, sollten Sie Secure Sockets Layer (SSL) verwenden.

Kompatibilität

Version Hinweise
IIS 10.0 Das <digestAuthentication>-Element wurde in IIS 10.0 nicht geändert.
IIS 8.5 Das <digestAuthentication>-Element wurde in IIS 8.5 nicht geändert.
IIS 8.0 Das <digestAuthentication>-Element wurde in IIS 8.0 nicht geändert.
IIS 7.5 Das <digestAuthentication>-Element wurde in IIS 7.5 nicht geändert.
IIS 7.0 Das <digestAuthentication>-Element wurde in IIS 7.0 eingeführt.
IIS 6.0 Das <digestAuthentication>-Element ersetzt Teile der IIS 6.0 AuthType- und AuthFlags-Metabasiseigenschaften.

Setup

Die Standardinstallation von IIS 7 und höher enthält nicht den Digestauthentifizierungs-Rollendienst. Um die Digestauthentifizierung unter IIS 7 oder neuer zu verwenden, müssen Sie den Rollendienst installieren, die anonyme Authentifizierung für Ihre Website oder Anwendung deaktivieren und dann die Windows-Authentifizierung für die Website oder Anwendung aktivieren.

Führen Sie die folgenden Schritte aus, um den Digestauthentifizierungs-Rollendienst zu installieren.

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
  3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter. Wählen Sie den Installationstyp aus, und klicken Sie auf Weiter. Wählen Sie den Zielserver aus, und klicken Sie auf Weiter.
  4. Erweitern Sie auf der Seite Serverrollen den Webserver (IIS), erweitern Sie den Webserver, erweitern Sie Sicherheit, und wählen Sie dann Digestauthentifizierung aus. Klicken Sie auf Weiter.
    Image of Web Server and Security pane expanded with Digest Authentication selected. .
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Startbildschirm den Mauszeiger ganz nach links unten, klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Sicherheit, und wählen Sie dann Digestauthentifizierung aus.
    Screenshot of World Wide Web Services and Security pane expanded with Digest Authentication highlighted.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungstools und klicken Sie dann auf Server-Manager.
  2. Erweitern Sie im Hierarchiebereich des Server-Managers die Rollen und klicken Sie dann auf den Webserver (IIS).
  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt "Rollendienste ", und klicken Sie dann auf "Rollendienstehinzufügen".
  4. Wählen Sie auf der Seite Rollendienste auswählen des Assistenten Rollendienste hinzufügenDigestauthentifizierung aus, und klicken Sie dann auf Weiter. Image of Select Role Services page displaying Digest Authentication option selected.
  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  6. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerungauf Programme und Funktionenund dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Sicherheit, wählen Sie Digestauthentifizierung aus und klicken Sie dann auf OK.
    Screenshot of World Wide Web Services and Security pane expanded showing Digest Authentication selected.

Gewusst wie

Aktivieren der Digestauthentifizierung und Deaktivieren der anonymen Authentifizierung

  1. Öffnen Sie den Internet Information Services (IIS) Manager:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie in der Taskleiste auf Server-Manager, dann auf Tools und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-Taste gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf "Systemsteuerung".
      • Klicken Sie auf Verwaltungund doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltung und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
      • Doppelklicken Sie auf Verwaltung und doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

  2. Erweitern Sie im Bereich Verbindungen den Servernamen, erweitern Sie Sites und dann die Website, Anwendung oder den Webdienst, für die Sie die Basis-Authentifizierung aktivieren möchten.

  3. Scrollen Sie zum Abschnitt Sicherheit im Bereich Start, und doppelklicken Sie dann auf Authentifizierung.
    Image of Home pane in Security section with Authentication application highlighted.

  4. Wählen Sie im Bereich AuthentifizierungDigestauthentifizierung aus, und klicken Sie dann im Bereich Aktionen auf aktivieren.

  5. Wählen Sie im Bereich Authentifizierung die Option Anonyme Authentifizierung, und klicken Sie dann auf Deaktivieren im Bereich Aktionen.
    Image of Authentication pane displaying Anonymous Authentication option highlighted.

Konfiguration

Das <digestAuthentication>-Element kann auf Site-, Anwendungs-, virtueller Verzeichnis- und URL-Ebene konfiguriert werden. Nachdem Sie den Rollendienst installiert haben, übernimmt IIS 7 die folgenden Konfigurationseinstellungen in die Datei ApplicationHost.config.

<digestAuthentication enabled='false' />

Attribute

Attribut Beschreibung
enabled Optionales boolesches Attribut.

Gibt an, ob die Digestauthentifizierung aktiviert ist.

Der Standardwert ist false.
realm Optionales String -Attribut.

Gibt den Bereich für die Digestauthentifizierung an.

Untergeordnete Elemente

Keine.

Konfigurationsbeispiel

Im folgenden Konfigurationsbeispiel wird die Digestauthentifizierung für eine Website, Webanwendung oder einen Webdienst aktiviert. Standardmäßig müssen diese Einstellungen in Ihre ApplicationHost.config-Datei eingeschlossen werden, und Sie müssen sie in ein <location>-Element einschließen und das Pfad-Attribut verwenden, um die Website oder Anwendung zu definieren, auf die Sie die Authentifizierungseinstellungen anwenden möchten.

<security>
   <authentication>
      <anonymousAuthentication enabled="false" />
      <digestAuthentication enabled="true" />
   </authentication>
</security>

Beispielcode

In den folgenden Beispielen wird die Digestauthentifizierung für eine Website aktiviert.

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/digestAuthentication /enabled:"True" /commit:apphost

Hinweis

Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei ApplicationHost.config festgelegt.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

   private static void Main() {

      using(ServerManager serverManager = new ServerManager()) { 
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection digestAuthenticationSection = config.GetSection("system.webServer/security/authentication/digestAuthentication", "Contoso");
         digestAuthenticationSection["enabled"] = true;

        serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim digestAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/digestAuthentication", "Contoso")
      digestAuthenticationSection("enabled") = True

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var digestAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/digestAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
digestAuthenticationSection.Properties.Item("enabled").Value = true;

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set digestAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/digestAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
digestAuthenticationSection.Properties.Item("enabled").Value = True

adminManager.CommitChanges()