【51CTO獨家特稿】當我們把資源傳到服務器中以后就開始著手進行訪問端的配置。介于服務器安全方面的考慮需要對訪問用戶進行身份驗證。在Media Services有大致上幾種用戶驗證：WMS匿名用戶身份驗證、WMS 協商身份驗證與WMS 摘要式身份驗證。

Media Services包含的身份驗證功能

我們了解到身份驗證是運行 Windows Media Services 的服務器安全的一個基本方面。對于任何試圖訪問 Windows Media 服務器上的資源的用戶而言，它可以確認其身份。Windows Media Services 包括以下幾種可用于驗證用戶憑據的身份驗證插件：

WMS匿名用戶身份驗證

這項功能不開啟的時候就是不會對服務器與播放器之間的做出任何的響應，對所有來訪問的用戶都提供服務，但如果啟用此功能，則只有NTFS分區上授權的用戶能夠讀取內容，當然也就防止了下載和復制媒體文件。默認的帳號是WMUS_servername ，啟用此功能則必須為 WMUS_servername 帳戶提供即將從發布點播放的任何文件和文件夾的讀取權限。

WMS 協商身份驗證

協商身份驗證使用加密的“請求/響應”對用戶進行身份驗證。當然，這是一種比較安全的身份驗證形式，因為用戶名和密碼不通過網絡發送，播放器通過與 Windows Media 服務器進行加密信息交流來確認密碼，這使用 NTLM 或 Kerberos 身份驗證方法對其進行驗證。

WMS 摘要式身份驗證

如果希望通過 Internet 連接到服務器的用戶在提供了用戶名和密碼之后能夠訪問內容，則可以啟用 WMS 摘要式身份驗證插件。這項功能使用請求/響應 HTTP 身份驗證的方法，并且不需要在網絡上發送密碼但不如 NTLM、Kerberos 或其他私鑰身份驗證方案安全。

另外，身份驗證還可以與授權功能結合使用，驗證用戶身份后，授權功能就可控制對內容的訪問了。如圖1所示，在授權中啟用了用戶連接的IP地址ACL，你可以編輯對應的IP地址，如圖2所示，不過這項功能還是對于內網中的用戶比較適合，在本案例中，因為我們無法控制學員在外部網絡的IP地址，因此建議不要使用這項功能。

圖 1 發布點的授權功能插件

圖 2 WMS IP地址授權屬性

利用活動目錄實現聯合身份驗證

了解了上述三項功能之后，我想你也知道如果使用“WMS ACL+WMS身份驗證”最適合這個案例的需求的，不過啟用這個功能是有代價的，這項功能所使用的領域標識需要通過對比Active Directory 域來驗證用戶身份，我們需要對不同的學員進行邏輯分組，用戶名與密碼對與視頻資源相關聯，以便允許同一授權信息用于多個資源。現在將Media Server 加入對應的域，之后啟用WMS ACL+WMS身份驗證的功能，再次訪問資源時將彈出驗證對話框，如圖3所示。

圖 3 啟用用戶驗證后的效果

最后有一點需要注意的地方，如果啟用所有默認的 Windows Media Services 身份驗證功能且播放器嘗試訪問服務器，則服務器將首先使用“WMS 匿名用戶身份驗證”來驗證用戶。如果服務器無法根據為插件指定的匿名帳戶為用戶提供訪問權限，則服務器將嘗試使用“WMS 協商身份驗證”插件來驗證用戶身份。如果此嘗試失敗，則 Windows Media Player 7 以及更高版本將繼續嘗試使用此輔助方法來執行身份驗證。輔助方法失敗一次后，以前版本的播放器就會停止。

當然，安全性的增強就意味著“自己找了麻煩的事”，怎么說呢？如果播放器通過超文本傳輸協議 (HTTP) 進行連接，則用戶每次停止、暫停、快進或后退內容時，播放器都會與服務器斷開連接。如果用戶嘗試繼續接收內容，則將重新執行身份驗證和授權過程。

【51CTO獨家特稿，合作站點轉載請注明原文譯者和出處。】

【編輯推薦】

1. Media Server服務器在某培訓中心的應用實戰
2. Windows 7上的Media Center（媒體中心）激動人心
3. 更換Windows 7的Windows Media Center主題
4. AMD推出多媒體瀏覽器 - Fusion Media Explorer