Vue d'ensemble sur l'authentification des utilisateurs de IIS

Authentification des utilisateurs dans IIS est l'une des premières étapes de sécurisation IIS. Lorsqu'un utilisateur tente d'accéder à un site Web ou un site FTP IIS sur une machine, l'authentification est le processus qui vérifie si l'utilisateur peut en effet accéder au site. D'authentification et les autorisations sont étroitement couplées. Après qu'un utilisateur est authentifié, les autorisations NTFS de déterminer si l'utilisateur peut accéder à des dossiers et des fichiers, les autorisations Web et indiquer si un client Web ou FTP client peut lire le répertoire ou le répertoire virtuel du site.

Les méthodes d'authentification qui peut être utilisé pour authentifier les utilisateurs dans IIS 6 sont énumérées ci-dessous. Chaque méthode d'authentification peut être utilisé pour authentifier les utilisateurs essayant d'accéder à des sites Web. Cependant, seulement l'accès anonyme et l'authentification de base peut être activé pour les sites FTP.

• Accès anonyme
• L'authentification de base
• L'authentification intégrée de Windows
• Digest Authentication
• . NET Passport d'authentification

Vous pouvez configurer une méthode d'authentification pour un site Web sur les niveaux suivants:

• Sites Web noeud: L'onglet Sécurité de répertoire est utilisé.
• Des sites Internet: l'onglet Sécurité de répertoire est utilisé.
• Répertoire virtuel: L'onglet Sécurité de répertoire est utilisé
• Des fichiers spécifiques: L'onglet Sécurité de fichier est utilisé

Vous pouvez configurer une méthode d'authentification pour un site FTP de la manière suivante:

• Sites FTP noeud: l'onglet Comptes de sécurité est utilisé.
• Spécifiques FTP: l'onglet Comptes de sécurité est utilisé

Lorsque plus d'une méthode d'authentification est configuré pour un site Web, le répertoire virtuel ou un fichier, l'ordre dans lequel les méthodes d'authentification pris en charge dans IIS sont appliqués, sont indiqués ci-après:

1. La méthode d'authentification de l'accès anonyme est appliqué en premier.
2. Lorsque la méthode d'authentification de l'accès anonyme n'est pas configuré ou soutenu, la méthode d'authentification Windows intégrée est tentée, la méthode d'authentification Digest est la tentative suivante, et la méthode d'authentification de base est la dernière tentative (dans cet ordre).
3. Pas d'autres méthodes d'authentification sont disponibles lorsque le. NET Passport méthode d'authentification est configuré.

La méthode d'authentification intégrée de Windows est la méthode d'authentification utilisée pour authentifier les utilisateurs essayant de se connecter à un ordinateur Windows 2000 ou Windows Server 2003 ou le réseau. L'authentification intégrée de Windows est recommandé méthode d'authentification pour authentifier les utilisateurs essayant d'accéder à des sites Web et des sites FTP sur IIS machines.

L'authentification intégrée de Windows se compose de deux méthodes suivantes de l'authentification:

• NTLMv2 La méthode est utilisée lorsque la machine IIS est en cours d'exécution dans un réseau qui contient les contrôleurs de domaine Windows NT, IIS, ou lorsque la machine appartient à un groupe de travail.
• L'authentification Kerberos est utilisée lorsque la machine IIS appartient à un domaine - pas de contrôleurs de domaine Windows NT exister.

Les exigences de la méthode d'authentification intégrée de Windows sont listés ci-dessous:

• Internet Explorer 3.01 ou version ultérieure
• L'authentification intégrée de Windows peut rencontrer des problèmes avec les firewalls et les serveurs proxy. Vous mai donc besoin de configurer les clients Web pour accéder au serveur Web par l'intermédiaire d'un tunnellisés connexion, tels que Point-to-Point Tunneling Protocol (PPTP).

Digest Authentication ne peut être activée si Active Directory est utilisé. Digest Authentication l'identification de l'utilisateur envoie sur le réseau en utilisant un hachage MD5 cryptée, et donc plus sûre que la méthode d'authentification de base.

Les exigences de la méthode d'authentification Digest sont énumérées ci-dessous:

• Internet Explorer 5 ou version ultérieure
• Active Directory doit être utilisé avec les contrôleurs de domaine Windows 2000 ou Windows Server 2003.
• Des comptes d'utilisateur de domaine doit être configuré pour les utilisateurs.
• Les utilisateurs et la machine IIS doit appartenir au même domaine. Si non, ils doivent être approuvé par le même domaine.
• Le compte LocalSystem doit être utilisée par la machine lorsque IIS mode d'isolation du processus de travail est activée.

L'authentification de base est considéré comme le plus sûr que la méthode d'authentification peut être utilisé pour authentifier les utilisateurs dans IIS, car il utilise un texte clair nom d'utilisateur et mot de passe. L'authentification de base sur les fonctions des serveurs proxy, et fonctionne avec tous les navigateurs clients. L'authentification de base est activée pour les sites FTP, par défaut.

With. NET Passport. NET passeports sont utilisés pour l'authentification, et l'authentification se produit via une authentification unique sur la méthode. Lorsque cette option est activée, les pouvoirs des utilisateurs ont des comptes Passport. Les comptes Passport sont situés sur des serveurs de passeport qui sont connectés à l'Internet. Les passeports sont gérés par les serveurs Microsoft. IIS envoie le Passeport de l'information à l'utilisateur de le Passeport pour l'authentification des serveurs lorsqu'un utilisateur tente d'accéder à un site Web IIS.

Les mesures qui doivent être utilisés pour permettre à. NET Passport d'authentification sont indiqués ci-après:

1. Vous devez d'abord créer un site ID et tous les paramètres de configuration de passeport sur la machine IIS. Vous pouvez utiliser l'utilitaire Administration du gestionnaire de Passport, msppcnfg.exe, pour accomplir cette tâche.
2. Vous avez prochain d'acquérir un certificat de serveur pour le site Web. Ce certificat permettrait d'identifier le site Web de l'authentification de l'utilisateur lorsque les demandes sont transmises aux serveurs de passeport.
3. Vous devez vous enregistrer au site Web avec le site de Microsoft Passport.

Comment faire pour configurer les paramètres d'authentification dans le site Web de niveau

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur un site Web dans l'arborescence de la console et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
4. Dans l'authentification et contrôle d'accès de l'onglet Sécurité de répertoire, cliquez sur le bouton Modifier.
5. Méthodes d'authentification La boîte de dialogue s'ouvre. Vous pouvez configurer les paramètres énumérés ci-dessous sur cette boîte de dialogue.
   • La case à cocher Activer l'accès anonyme peut être activé ou désactivé pour le site Web. L'accès anonyme est généralement utilisé pour les sites publics.
   • Les options que vous pouvez configurer un accès authentifié dans le domaine de la boîte de dialogue Méthodes d'authentification sont:
     • L'authentification intégrée de Windows: Il s'agit de l'option la plus sûre qui peut être utilisé pour l'authentification dans IIS. Kerberos version 5 est utilisé si le navigateur du client inclut le support pour le protocole. L'authentification NTLM est utilisée lorsque le navigateur du client ne prend pas en charge Kerberos version 5.
     • Digest Authentication Pour les serveurs de domaine Windows: Cette option peut uniquement être activée si Active Directory est utilisé. Digest Authentication l'identification de l'utilisateur envoie sur le réseau en utilisant un système de cryptage MD5.
     • L'authentification de base: C'est le maillon le plus faible pour la méthode d'authentification IIS, et devrait être utilisé lorsque vous ne pouvez pas utiliser une autre méthode d'authentification. L'authentification de base utilise un texte clair nom d'utilisateur et mot de passe.
     • . NET Passport Authentication: Lorsque cette option est activée,. NET passeports sont utilisés pour l'authentification, et l'authentification se produit via une authentification unique sur la méthode.
6. Cliquez sur OK

Comment faire pour configurer une méthode d'authentification au niveau du site FTP

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur un site FTP dans l'arborescence de la console et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site FTP s'ouvre, cliquez sur l'onglet Comptes de sécurité.
4. L'onglet Comptes de sécurité a la suite de deux cases à cocher:

• Autoriser les connexions anonymes
• Autoriser seulement les connexions anonymes

5. Si vous souhaitez activer l'accès anonyme méthode d'authentification, sélectionnez à la fois la case à cocher Autoriser les connexions anonymes, et Autoriser seulement les connexions anonymes case.
6. Si vous souhaitez activer l'accès anonyme à la fois la méthode d'authentification de base et la méthode d'authentification, de ne sélectionner la case à cocher Autoriser les connexions anonymes. Anonyme accès d'authentification seront automatiquement tentée avant l'authentification de base est tenté.
7. Si vous souhaitez activer l'authentification de base, veiller à ce que Autoriser les connexions anonymes et Autoriser seulement les connexions anonymes sont désactivées cases (non sélectionné).
8. Cliquez sur OK

Comment faire pour configurer les paramètres d'authentification au niveau de l'adresse IP

Vous pouvez restreindre l'accès au Web à l'adresse IP de niveau que de permettre aux utilisateurs d'accéder à un site qui utilisent une adresse IP à partir d'une liste prédéfinie de l'agrément des adresses IP.

Pour ce faire,

1. Ouvrez le Gestionnaire des services Internet.
2. Cliquez-droit sur un site Web dans l'arborescence de la console et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
4. Dans l'adresse IP et les noms de domaine de la limitation de l'onglet Sécurité de répertoire, cliquez sur le bouton Modifier.
5. L'adresse et les noms de domaine de la limitation boîte de dialogue s'ouvre.
6. Utilisation de la boîte de dialogue, vous pouvez spécifier que tous les ordinateurs ont accès, ou vous pouvez spécifier les ordinateurs qui ne devrait pas avoir accès par l'inscription de leur adresse IP ou le nom de domaine.
7. Cliquez sur le bouton Ajouter pour inclure notamment les adresses IP des utilisateurs dans une liste.
8. Cliquez sur OK.