¿Cuál es el efecto de <authentication mode = "windows"> en las versiones de IIS?

Question

Me pregunto cuál es el efecto de establecer <authentication mode="windows"> en el web.config en una versión diferente de IIS.

Creo que en IIS 5 tiene poco o ningún efecto, ya que todo eso está integrado y controlado por el servidor web.

En IIS 6 y 7, creo que puedo configurar el acceso al acceso anónimo del servidor web y, a continuación, cada aplicación web alojada podría determinar si desea utilizar la autenticación de Windows configurando el modo. Es decir, web.config controla ASP.NET en estas versiones de IIS y anula el servidor.

Busco a un papel blanco o de algún tipo de referencia que apoye esto algo más que mi experiencia observacional

Answer 1

Que yo sepa, hubo pocos cambios entre 5 y 6 con respecto a la seguridad. Sin embargo, IIS 7 fue una revisión importante y difiere bastante de IIS 6 (pero, IIS 7 le permite ejecutar en modo "compatibilidad" para que sus aplicaciones se comporten casi exactamente de la misma manera que lo hicieron en IIS 5 y 6).

Hay un par de artículos útiles que pueden ayudar:

• http://learn.iis.net/page.aspx/110/changes-between-iis-60-and-iis-7-security/
• http://blogs.iis.net/nitashav/archive/2010/03/12/iis6-0-ui-vs-iis7-x-ui-series-integrated-windows-authentication.aspx

Answer 2

IIS 5 es también obsoleto (Windows XP morirá el próximo año). Hay poco valor para discutir sobre los detalles al respecto, aunque su comprensión no es correcta por lo que puedo recordar.

Esa configuración por sí sola solo determina cómo interpreta ASP.NET Framework el token de usuario nativo pasado por IIS (ya que IIS realiza la autenticación con sus proveedores de autenticación). Entonces, para IIS 6/7/8, cuando configura esto en ASP.NET, necesita verificar cuidadosamente cuál es la configuración correspondiente en el lado de IIS.

Por ejemplo, cuando el lado IIS utiliza la autenticación anónima/(integrada) de Windows/Basic/Digest, diferentes tipos de token de usuario se pasarán a ASP.NET.

http://msdn.microsoft.com/en-us/library/907hb5w9(v=vs.100).aspx

Por lo tanto, su comprensión de "Me puede configurar el servidor web para el acceso anónimo y después de cada aplicación web alojado a su vez podría determinar si se quería utilizar la autenticación de Windows se configura el modo" que está mal. Si su intención es utilizar la autenticación de Windows para autenticar clientes, debe configurarla tanto en el lado de IIS como en el lado de ASP.NET. A partir de IIS 7, el Administrador de IIS coloca esas configuraciones en el mismo lugar, pero aún necesita comprender completamente sus diferencias y relaciones. Para obtener más información sobre la autenticación de ASP.NET, puede consultar http://msdn.microsoft.com/en-us/library/eeyk640h(v=vs.100).aspx

.