Konfigurieren der Digestauthentifizierung für eine Webanwendung mit anspruchsbasierter Authentifizierung (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird die Konfiguration der Digestauthentifizierung für eine oder mehrere Zonen in einer Microsoft SharePoint Server 2010-Webanwendung mit anspruchsbasierter Authentifizierung beschrieben. Eine Webanwendung ist eine Internetinformationsdienste-Website (IIS), die von SharePoint Server 2010 erstellt und genutzt wird. Zonen stellen verschiedene logische Pfade für den Zugriff auf die jeweilige Webanwendung dar. In jeder Webanwendung können Sie bis zu fünf Zonen erstellen. Jede Zone wird in IIS von einer anderen Website dargestellt. Mithilfe von Zonen können Sie unterschiedliche Zugriffs- und Richtlinienbedingungen für große Benutzergruppen erzwingen. Verwenden Sie zum Konfigurieren der Digestauthentifizierung für eine oder mehrere Zonen in einer SharePoint Server 2010-Webanwendung die IIS-Verwaltungskonsole, in der die IIS direkt konfiguriert werden können.
Die Digestauthentifizierung bietet dieselbe Funktionalität wie die Standardauthentifizierung. Allerdings werden bei der Digestauthentifizierung die Benutzeranmeldeinformationen zum Erhöhen der Sicherheit verschlüsselt. Benutzeranmeldeinformationen werden als MD5-Nachrichtenhash gesendet, in dem der ursprüngliche Benutzername und das Kennwort nicht entschlüsselt werden können. Die Digestauthentifizierung nutzt ein Abfrage/Rückmeldung-Protokoll, das vom Anforderer der Authentifizierung verlangt, als Antwort auf eine Abfrage beim Server gültige Anmeldeinformationen vorzulegen. Zur Authentifizierung beim Server muss der Client einen MD5-Nachrichtenhash in einer Antwort bereitstellen, der eine Kennwortzeichenfolge in einem gemeinsamen geheimen Schlüssel enthält. Der Algorithmus des MD5-Nachrichtenhashs wird im RFC 1321 detailliert beschrieben. Informationen zum RFC 1321 finden Sie auf folgender Website: Was bedeutet Digestauthentifizierung? (https://go.microsoft.com/fwlink/?linkid=209085&clcid=0x407).
Beachten Sie bei der Verwendung der Digestauthentifizierung die folgenden Anforderungen:
Benutzer und IIS-Server müssen derselben Domäne anhören bzw. für diese vertrauenswürdig sein.
Der Benutzer benötigt ein gültiges Windows-Benutzerkonto, das in den Active Directory-Domänendiensten (AD DS) auf dem Domänencontroller gespeichert sein muss.
Die Domäne muss mit einem Microsoft Windows Server 2008-Domänencontroller arbeiten.
Konfigurieren von IIS zum Aktivieren der Digestauthentifizierung
Sie können die Internetinformationsdienste in der IIS-Verwaltungskonsole für die Aktivierung der Digestauthentifizierung für eine oder mehrere der folgenden Zonen einer anspruchsbasierten Webanwendung konfigurieren:
Hinweis
Die Standardzone ist die Zone, die nach dem Erstellen einer Webanwendung zuerst erstellt wird. Die anderen Zonen werden beim Erweitern einer Webanwendung erstellt.
Standard
Intranet
Extranet
So konfigurieren Sie IIS zum Aktivieren der Digestauthentifizierung
Stellen Sie sicher, dass Sie über eines der folgenden Administratorrechte verfügen:
- Sie müssen Mitglied der Gruppe Administratoren auf dem Server sein, auf dem die IIS-Konfiguration ausgeführt wird.
Zeigen Sie im Startmenü auf Alle Programme, klicken Sie auf Verwaltung und anschließend auf Internetinformationsdienste (IIS)-Manager, um die IIS-Verwaltungskonsole zu öffnen.
Erweitern Sie in der Konsolenstruktur Websites, klicken Sie mit der rechten Maustaste auf die IIS-Website, die der Webanwendungszone entspricht, für die Sie die Digestauthentifizierung konfigurieren möchten, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Seite Eigenschaften der Website auf die Registerkarte Verzeichnissicherheit.
Klicken Sie im Abschnitt Steuerung des anonymen Zugriffs und der Authentifizierung auf Bearbeiten.
Aktivieren Sie im Dialogfeld Authentifizierungsmethoden im Abschnitt Authentifizierungsmethoden das Kontrollkästchen Digestauthentifizierung für Windows-Domänenserver.
In einem Dialogfeld werden Sie informiert, dass die Digestauthentifizierung nur für AD DS-Domänenkonten funktioniert, und gefragt, ob Sie fortfahren möchten. Klicken Sie auf Ja.
Klicken Sie im Abschnitt Bereich im Dialogfeld Authentifizierungsmethoden auf Auswählen.
Wählen Sie den gewünschten Bereich aus, und klicken Sie auf OK. Klicken Sie in den anderen geöffneten Dialogfeldern auf OK.
Ab diesem Zeitpunkt ist die Website für die Digestauthentifizierung konfiguriert.
See Also
Other Resources
Was bedeutet Digestauthentifizierung? (https://go.microsoft.com/fwlink/?linkid=209085&clcid=0x407)