Konfigurieren der Digestauthentifizierung (Windows SharePoint Services)

  • Artikel

Inhalt dieses Artikels:

  • Informationen zur Digestauthentifizierung

  • Aktivieren der Digestauthentifizierung für eine Zone einer Webanwendung

  • Konfigurieren von IIS zum Aktivieren der Digestauthentifizierung

Informationen zur Digestauthentifizierung

Bei der Standardauthentifizierung sind zuvor zugewiesene Windows-Kontoanmeldeinformationen für den Benutzerzugriff erforderlich. Mithilfe der Standardauthentifizierung kann ein Webbrowser Anmeldeinformationen bereitstellen, wenn während einer HTTP-Transaktion eine Anforderung erfolgt. Da Benutzeranmeldeinformationen für Netzwerkübertragungen nicht verschlüsselt, sondern im Nur-Text-Format über das Netzwerk gesendet werden, wird von der Standardauthentifizierung über eine ungesicherte HTTP-Verbindung abgeraten. Aktivieren Sie zum Verwenden der Standardauthentifizierung die SSL-Verschlüsselung (Secure Sockets Layer).

Die Digestauthentifizierung bietet dieselbe Funktionalität wie die Standardauthentifizierung, allerdings mit erhöhter Sicherheit. Benutzeranmeldeinformationen werden verschlüsselt, statt im Nur-Text-Format über das Netzwerk gesendet zu werden. Benutzeranmeldeinformationen werden als MD5-Nachrichtenhash gesendet, in dem der ursprüngliche Benutzername und das ursprüngliche Kennwort nicht entschlüsselt werden können. Die Digestauthentifizierung verwendet ein Abfrage/Rückmeldung-Protokoll; dies bedeutet, dass der Authentifizierungsanfordernde als Rückmeldung auf eine Abfrage vom Server gültige Anmeldeinformationen angeben muss. Zur Authentifizierung beim Server muss der Client in einer Rückmeldung einen MD5-Nachrichtenhash bereitstellen, in dem eine freigegebene geheime Kennwortzeichenfolge enthalten ist. Der MD5-Nachrichtenhashalgorithmus wird detailliert in RFC 1321 beschrieben. Zugriff auf RFC 1321 erhalten Sie unter http://www.ietf.org/.

Beachten Sie zum Verwenden der Digestauthentifizierung die folgenden Anforderungen:

  • Der Benutzer und der IIS-Server müssen Mitglied derselben Domäne sein oder als vertrauenswürdig behandelt werden.

  • Benutzer benötigen ein gültiges Windows-Benutzerkonto, das in Active Directory auf dem Domänencontroller gespeichert ist.

  • In der Domäne muss ein Microsoft Windows Server 2003-Domänencontroller verwendet werden.

  • Sie müssen die Datei IISSuba.dll auf dem Domänencontroller installieren. Diese Datei wird während des Windows Server 2003-Setups automatisch kopiert.

  • Sie müssen Windows Server 2003 mit SP2 oder höher installieren. Windows SharePoint Services 3.0 bietet keine Unterstützung für die Digestauthentifizierung unter Windows Server 2003 mit SP1 oder früher.

  • Damit Sie die Digestauthentifizierung mit anderen Browsern als Microsoft Internet Explorer 6.0 oder Internet Explorer 7.0 verwenden können, müssen Sie den im Knowledge Base-Artikel 932729 beschriebenen IIS-Hotfix installieren. Informationen zu diesem Hotfix finden Sie unter UPDATE: Fehlermeldung: wenn Sie versuchen, auf eine Website zuzugreifen, auf der auf IIS 6.0 hosten wird, Zugriffsverweigerung (https://go.microsoft.com/fwlink/?linkid=92784&clcid=0x407).

Aktivieren der Digestauthentifizierung für eine Zone einer Webanwendung

Verwenden Sie die folgende Vorgehensweise, um die Digestauthentifizierung für eine Zone einer Webanwendung zu aktivieren. Innerhalb jeder Webanwendung können Sie verschiedene Klassen von Benutzern in eine der folgenden fünf Zonen kategorisieren:

  • Internet ist die für Kunden verwendete Zone.

  • Intranet ist die für interne Mitarbeiter verwendete Zone.

  • Standard ist die für Remotemitarbeiter verwendete Zone.

  • Benutzerdefiniert ist die für Administratoren verwendete Zone.

  • Extranet ist die für Partner verwendete Zone.

Aktivieren der Digestauthentifizierung für eine Zone einer Webanwendung

  1. Öffnen Sie unter Verwaltung die Websiteanwendung für die SharePoint-Zentraladministration.

  2. Klicken Sie auf der Homepage der Zentraladministration auf Anwendungsverwaltung.

  3. Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Authentifizierungsanbieter.

  4. Stellen Sie sicher, dass auf der Seite Authentifizierungsanbieter im Feld Webanwendung (unter Websiteaktionen) die Webanwendung aufgeführt wird, die Sie konfigurieren möchten. Wenn nicht die gewünschte Webanwendung angezeigt wird, klicken Sie auf den Dropdownpfeil rechts neben dem Dropdown-Listenfeld Webanwendung, und wählen Sie 'Webanwendung' ändern aus.

  5. Klicken Sie im Dialogfeld Webanwendung auswählen auf die Webanwendung, die Sie konfigurieren möchten.

  6. Klicken Sie auf der Seite Authentifizierungsanbieter auf die Zone der Webanwendung, für die Sie die Digestauthentifizierung aktivieren möchten. Die für die ausgewählte Webanwendung konfigurierten Zonen werden auf der Seite Authentifizierungsanbieter aufgelistet.

  7. Deaktivieren Sie auf der Seite Authentifizierung bearbeiten im Abschnitt IIS-Authentifizierungseinstellungen die Kontrollkästchen Integrierte Windows-Authentifizierung und Standardauthentifizierung, und klicken Sie dann auf Speichern.

Nun konfigurieren Sie IIS mithilfe der IIS-Verwaltungskonsole, um die Digestauthentifizierung zu aktivieren.

Konfigurieren von IIS zum Aktivieren der Digestauthentifizierung

Verwenden Sie die folgende Vorgehensweise, um IIS zum Aktivieren der Digestauthentifizierung zu konfigurieren.

Konfigurieren von IIS zum Aktivieren der Digestauthentifizierung

  1. Klicken Sie im Startmenü unter Verwaltung auf Internetinformationsdienste, um die IIS-Verwaltungskonsole zu starten.

  2. Klicken Sie unter dem Knoten Websites in der Konsolenstruktur mit der rechten Maustaste auf die IIS-Website, die der Zone der Webanwendung entspricht, für die Sie die Digestauthentifizierung konfigurieren möchten. Klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite mit den Eigenschaften der Website auf die Registerkarte Verzeichnissicherheit.

  4. Klicken Sie im Abschnitt Authentifizierung und Zugriffsteuerung auf die Schaltfläche Bearbeiten.

  5. Aktivieren Sie im Dialogfeld Authentifizierungsmethoden im Abschnitt Authentifizierter Zugriff die Option Digestauthentifizierung für Windows-Domänenserver. Daraufhin wird ein Dialogfeld angezeigt, in dem Sie darüber informiert werden, dass die Digestauthentifizierung nur für Active Directory-Domänenkonten möglich ist, und in dem Sie gefragt werden, ob Sie den Vorgang fortsetzen möchten. Klicken Sie auf Ja.

  6. Klicken Sie im Dialogfeld Authentifizierungsmethoden im Abschnitt Bereich auf die Schaltfläche Auswählen.

  7. Wähen Sie den gewünschten Bereich aus, und klicken Sie auf OK. Klicken Sie in den anderen geöffneten Dialogfeldern auf OK.

Die Website ist nun für die Verwendung der Digestauthentifizierung konfiguriert.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.