【51CTO独家特稿】当我们把资源传到服务器中以后就开始着手进行访问端的配置。介于服务器安全方面的考虑需要对访问用户进行身份验证。在Media Services有大致上几种用户验证:WMS匿名用户身份验证、WMS 协商身份验证与WMS 摘要式身份验证。
Media Services包含的身份验证功能
我们了解到身份验证是运行 Windows Media Services 的服务器安全的一个基本方面。对于任何试图访问 Windows Media 服务器上的资源的用户而言,它可以确认其身份。Windows Media Services 包括以下几种可用于验证用户凭据的身份验证插件:
WMS匿名用户身份验证
这项功能不开启的时候就是不会对服务器与播放器之间的做出任何的响应,对所有来访问的用户都提供服务,但如果启用此功能,则只有NTFS分区上授权的用户能够读取内容,当然也就防止了下载和复制媒体文件。默认的帐号是WMUS_servername ,启用此功能则必须为 WMUS_servername 帐户提供即将从发布点播放的任何文件和文件夹的读取权限。
WMS 协商身份验证
协商身份验证使用加密的“请求/响应”对用户进行身份验证。当然,这是一种比较安全的身份验证形式,因为用户名和密码不通过网络发送,播放器通过与 Windows Media 服务器进行加密信息交流来确认密码,这使用 NTLM 或 Kerberos 身份验证方法对其进行验证。
WMS 摘要式身份验证
如果希望通过 Internet 连接到服务器的用户在提供了用户名和密码之后能够访问内容,则可以启用 WMS 摘要式身份验证插件。这项功能使用请求/响应 HTTP 身份验证的方法,并且不需要在网络上发送密码但不如 NTLM、Kerberos 或其他私钥身份验证方案安全。
另外,身份验证还可以与授权功能结合使用,验证用户身份后,授权功能就可控制对内容的访问了。如图1所示,在授权中启用了用户连接的IP地址ACL,你可以编辑对应的IP地址,如图2所示,不过这项功能还是对于内网中的用户比较适合,在本案例中,因为我们无法控制学员在外部网络的IP地址,因此建议不要使用这项功能。
图 1 发布点的授权功能插件
图 2 WMS IP地址授权属性
利用活动目录实现联合身份验证
了解了上述三项功能之后,我想你也知道如果使用“WMS ACL+WMS身份验证”最适合这个案例的需求的,不过启用这个功能是有代价的,这项功能所使用的领域标识需要通过对比Active Directory 域来验证用户身份,我们需要对不同的学员进行逻辑分组,用户名与密码对与视频资源相关联,以便允许同一授权信息用于多个资源。现在将Media Server 加入对应的域,之后启用WMS ACL+WMS身份验证的功能,再次访问资源时将弹出验证对话框,如图3所示。
图 3 启用用户验证后的效果
最后有一点需要注意的地方,如果启用所有默认的 Windows Media Services 身份验证功能且播放器尝试访问服务器,则服务器将首先使用“WMS 匿名用户身份验证”来验证用户。如果服务器无法根据为插件指定的匿名帐户为用户提供访问权限,则服务器将尝试使用“WMS 协商身份验证”插件来验证用户身份。如果此尝试失败,则 Windows Media Player 7 以及更高版本将继续尝试使用此辅助方法来执行身份验证。辅助方法失败一次后,以前版本的播放器就会停止。
当然,安全性的增强就意味着“自己找了麻烦的事”,怎么说呢?如果播放器通过超文本传输协议 (HTTP) 进行连接,则用户每次停止、暂停、快进或后退内容时,播放器都会与服务器断开连接。如果用户尝试继续接收内容,则将重新执行身份验证和授权过程。
【51CTO独家特稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
- Media Server服务器在某培训中心的应用实战
- Windows 7上的Media Center(媒体中心)激动人心
- 更换Windows 7的Windows Media Center主题
- AMD推出多媒体浏览器 - Fusion Media Explorer