摘要式身份验证

摘要式身份验证提供的功能与基本身份验证相同，不同之处在于其使用不同的方式传输身份验证凭据。通过单项进程的身份验证凭据通常称为“哈希”。此进程的结果称为一个哈希或消息摘要，并且对其进行解密是不可行的 - 不能从哈希中对原始文本进行解密。

在哈希之前将向密码添加其他信息，以便他人不能捕获密码哈希，并使用它来冒充真正的用户。添加的值将有助于标识用户、用户的计算机和用户所属的域。将添加时间戳，以防止用户使用吊销的密码。这是基本身份验证最显著的优势，因为未授权的用户不能拦截和使用密码。

摘要式身份验证依靠在 RFC 2617 规范中定义的 HTTP 1.1 协议（详见万维网联合会 (W3C) 网站。由于摘要式身份验证要求符合 HTTP 1.1，因此并不是所有的浏览器都支持它。如果在启用摘要式身份验证时一个不符合 HTTP 1.1 的浏览器请求文件，则该请求将被拒绝，因为客户端不支持摘要式身份验证。

只有在 Windows 域中才能使用摘要式身份验证。

要点

• 仅当域控制器拥有在 Active Directory 中存储的请求用户密码的可逆加密（明文）副本时才能完成摘要式身份验证。要允许密码存储在明文中，需要激活 Active Directory 中用户的“帐户”选项卡上的“使用可逆的加密保存密码”选项。还可以选择将组策略设置为启用此功能。完成此设置之后，因为无法确定旧密码，因此需要设置一个新密码来激活此功能。
  使用 WDigest 身份验证时不需要这样做。

WDigest

WDigest 是摘要式身份验证的新版本，ISA 服务器也支持此身份验证。与常规的摘要式身份验证不同，WDigest 不需要密码存储在可逆加密中。只有运行 Windows Server 2003 的 ISA 服务器计算机才支持 WDigest。

使用 WDigest 时，用户名和域名区分大小写。也就是说，用户键入的用户名（以及域名）必须与在 Active Directory 中写入的形式完全一样。这一点与摘要式身份验证、基本身份验证和集成 Windows 身份验证都不相同，它们只有密码是区分大小写的。

当 ISA 服务器和域基于 Windows Server 2003 时，默认身份验证是 WDigest。这意味着当您在 Windows Server 2003 环境中选择摘要式身份验证时，您实际上是选择了 WDigest。

摘要式身份验证只使用 Windows 2000 和 Windows Server 2003 域帐户，并且可能要求帐户将密码存储作为加密的明文。

客户端身份验证过程

以下步骤概括了如何使用摘要式身份验证对客户端进行身份验证：

1. 客户端发出一个请求。
2. ISA 服务器拒绝该请求，并要求客户端提供身份验证信息。
3. 域控制器通知 ISA 服务器身份验证结果。
4. 如果对客户端进行身份验证，则 ISA 服务器将根据需要检查防火墙策略，以决定是否应该获取对象。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。