Comment faire pour configurer l'authentification IIS (Internet Information Services) sur le Web dans Windows 2000

Cet article décrit étape par étape comment configurer l'authentification des demandes Web dans Microsoft Internet Information Services (IIS) 5.0.

Mode de fonctionnement de l'authentification sur le Web

L'authentification sur le Web désigne une communication entre le navigateur Web et le serveur Web avec intervention d'un nombre limité d'en-têtes HTTP (HyperText Transfer Protocol) et de messages d'erreur.

Le flux de communication est le suivant :

1. Le navigateur Web soumet une demande (HTTP-GET, par exemple).
2. Le serveur Web procède à un contrôle d'authentification. Comme l'authentification est obligatoire, le serveur renvoie un message d'erreur de ce type en cas d'échec :
   Vous n'êtes pas autorisé à afficher cette page
   
   Vous ne disposez pas des autorisations pour afficher ce répertoire ou cette page à l'aide des informations d'authentification que vous avez fournies.
   Ce message contient des informations que le navigateur Web peut utiliser pour resoumettre la demande en tant que demande authentifiée.
3. Le navigateur Web utilise la réponse du serveur pour élaborer une nouvelle demande comportant des informations d'authentification.
4. Le serveur Web procède à un contrôle d'authentification. En cas de réussite, le serveur Web envoie au navigateur Web les données initialement demandées.

Méthodes d'authentification

REMARQUE : avec certaines méthodes d'authentification décrites ci-dessous, vous devez utiliser des lecteurs formatés avec le système de fichiers NTFS, car ces lecteurs assurent le niveau de sécurité le plus élevé.

IIS prend en charge les cinq méthodes d'authentification sur le Web suivantes :

Authentification anonyme

IIS crée le compte IUSR_nom_ordinateur (où nom_ordinateur est le nom de l'ordinateur) pour authentifier des utilisateurs anonymes lorsqu'ils demandent du contenu Web. Ce compte autorise l'utilisateur à ouvrir une session locale. Vous pouvez réinitialiser l'accès des utilisateurs anonymes de manière à utiliser tout compte Windows valide.

REMARQUE : vous pouvez créer différents comptes anonymes pour différents sites Web, répertoires virtuels ou physiques et fichiers.

Si l'ordinateur exécutant Windows 2000 est un serveur autonome, le compte IUSR_nom_ordinateur se trouve alors sur le serveur local. Si le serveur est un contrôleur de domaine, le compte IUSR_nom_ordinateur est alors défini pour le domaine.

Authentification de base

Utilisez l'authentification de base pour restreindre l'accès aux fichiers sur un serveur Web au format NTFS. Avec l'authentification de base, l'utilisateur doit entrer des informations d'identification et l'accès est basé sur l'ID d'utilisateur.

Pour utiliser l'authentification de base, accordez à chaque utilisateur le droit d'ouvrir une session locale. Pour en faciliter la gestion, ajoutez-les à un groupe ayant accès aux fichiers nécessaires.

REMARQUE : comme les informations d'identification de l'utilisateur sont codées en Base64 mais ne sont pas chiffrées lors de leur transmission sur le réseau, l'authentification de base n'est pas considérée comme un mode d'authentification sécurisé.

Authentification Windows intégrée

L'authentification Windows intégrée est plus sécurisée que l'authentification de base et fonctionne bien dans un environnement intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows. Dans le cadre d'une authentification Windows intégrée, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe. Lorsque vous utilisez l'authentification Windows intégrée, le mot de passe de l'utilisateur n'est pas transmis au serveur. Si l'utilisateur a ouvert une session sur l'ordinateur local en tant qu'utilisateur du domaine, il ne doit alors pas s'authentifier une nouvelle fois pour accéder à un ordinateur réseau de ce domaine.

REMARQUE : vous ne pouvez pas utiliser l'authentification Windows intégrée par l'intermédiaire d'un serveur proxy.

Authentification Digest

L'authentification Digest comble les nombreuses lacunes de l'authentification de base. Le mot de passe n'est pas envoyé en texte clair lorsque vous utilisez l'authentification Digest. Vous pouvez par ailleurs utiliser l'authentification Digest par l'intermédiaire d'un serveur proxy. L'authentification Digest s'appuie sur un mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée. Pour utiliser l'authentification Digest :

• Le serveur Windows 2000 doit être dans un domaine.
• Vous devez installer le fichier IISSuba.dll sur le contrôleur de domaine. Ce fichier est automatiquement copié lors de l'installation de Windows 2000 Server.
• Vous devez sélectionner l'option de compte Enregistrer le mot de passe en utilisant un cryptage réversible pour tous les comptes d'utilisateurs. L'activation de cette option de compte requiert la réinitialisation ou la ressaisie du mot de pass.

REMARQUE : vous devez utiliser Microsoft Internet Explorer 5.0 ou version ultérieure comme navigateur Web lorsque vous avez recours à l'authentification Digest.

Mappage de certificat client

Le mappage de certificat client est une méthode où un « mappage» est créé entre un certificat et un compte d'utilisateur. Dans ce modèle, un utilisateur présente un certificat dont le mappage est examiné par le système pour déterminer le compte d'utilisateur devant faire l'objet d'une ouverture de session. Vous pouvez mapper un certificat à un compte d'utilisateur Windows en procédant de l'une des manières suivantes :

• À l'aide de Microsoft Active Directory
  
  - ou -
• À l'aide de règles définies dans IIS

Pour plus d'informations sur la façon de mapper des certificats clients à des comptes d'utilisateurs, reportez-vous à la section consacrée au mappage de certificat client dans la documentation d'IIS. Si IIS est installé, vous pouvez consulter la documentation IIS en tapant l'URL suivante dans la barre d'adresses de votre navigateur Web où hôte_local est le nom de l'hôte local : Pour plus d'informations sur la façon d'utiliser les certificats, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Vous pouvez configurer chaque méthode d'authentification de manière à contrôler l'accès aux éléments suivants sur le serveur IIS :

• ensemble du contenu Web hébergé sur le serveur IIS ;
• sites Web particuliers hébergés sur le serveur IIS ;
• répertoires virtuels ou physiques particuliers figurant dans un site Web ;
• pages ou fichiers particuliers figurant dans un site Web.

Procédure pour configurer l'authentification de sites Web IIS

1. Utilisez un compte administratif pour ouvrir une session sur le serveur Web.
2. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet.
   
   Le composant logiciel enfichable Services Internet (IIS) démarre.
3. Dans l'arborescence de la console, cliquez sur *nom_ordinateur où nom_ordinateur est le nom de l'ordinateur.
4. Cliquez avec le bouton droit sur l'un des éléments suivants, puis cliquez sur Propriétés :
   • Pour configurer l'authentification de l'ensemble du contenu Web hébergé sur le serveur IIS, cliquez avec le bouton droit sur * nom_ordinateur.
   • Pour configurer l'authentification d'un site Web particulier, cliquez avec le bouton droit sur le site Web concerné.
   • Pour configurer l'authentification d'un répertoire virtuel ou physique figurant dans un site Web, cliquez sur le site Web concerné, puis cliquez avec le bouton droit sur le répertoire concerné (_vti_pvt, par exemple).
   • Pour configurer l'authentification d'une page ou d'un fichier particulier figurant dans un site Web, cliquez sur le site Web concerné, cliquez sur le dossier qui contient la page ou le fichier concerné, puis cliquez avec le bouton droit sur la page ou le fichier concerné.
5. Dans la boîte de dialogue Propriétésnom_élément où nom_élément est le nom de l'élément que vous avez sélectionné, cliquez sur l'onglet Sécurité de répertoire.
   
   REMARQUE : Si l'élément sélectionné est un fichier individuel, cliquez sur l'onglet Sécurité de fichier.
6. Sous Connexions anonymes et contrôle d'authentification, cliquez sur Modifier.
7. Activez la case à cocher Connexion anonyme pour activer la connexion anonyme. Pour désactiver la connexion anonyme, désactivez cette case à cocher.
   
   REMARQUE : lorsque vous désactivez la connexion anonyme, vous devez configurer un type d'accès authentifié.
   1. Pour modifier le compte qui est utilisé pour l'accès anonyme à cette ressource, cliquez sur Modification en regard de Compte utilisé pour les connexions anonymes.
   2. Dans la boîte de dialogue Compte d'utilisateur anonyme, cliquez sur le compte d'utilisateur que vous souhaitez utiliser pour l'accès anonyme.
   3. Désactivez la case à cocher Autoriser la vérification de mot de passe par IIS si vous souhaitez utiliser l'API LogonUser () Windows pour l'authentification utilisateur.
      
      REMARQUE : La désactivation de cette option de contrôle de mot de passe force IIS à utiliser l'authentification normale et à ouvrir une session du compte en local. Vous devez désactiver cette option si les utilisateurs rencontrent des problèmes lors de l'accès aux ressources telles que les fichiers ou bases de données Microsoft Access sur un ordinateur de réseau.
   4. Cliquez sur OK.
8. Sous Accès authentifié, activez la case à cocher Authentification de base (le mot de passe est envoyé en texte clair) pour activer l'authentification de base. Lorsque le message suivant s'affiche, cliquez sur Oui :
   Avec l'option d'authentification que vous avez choisie, les mots de passe sont transmis sur le réseau sans cryptage des données. Une personne tentant de mettre en péril la sécurité de votre système pourrait utiliser un analyseur de protocole pour examiner les mots de passe pendant le processus d'identification. Pour plus de détails sur l'authentification utilisateur, consultez l'aide en ligne. Cet avertissement ne s'applique pas aux connexions HTTPS (ou SSL).
   
   Voulez-vous vraiment continuer ?
   1. Pour sélectionner un domaine avec lequel authentifier des utilisateurs qui utilisent l'authentification de base, cliquez sur Modification en regard de Sélectionner un domaine par défaut.
   2. Tapez le nom du domaine souhaité dans la zone Nom du domaine, puis cliquez sur OK.
      
      Remarque Si vous avez des inquiétudes concernant la sécurité sur votre intranet car l'authentification de base transmet les informations relatives au nom d'utilisateur et au mot de passe en texte clair, vous pouvez utiliser Authentification de base avec SSL
9. Activer la case à cocher Authentification Digest pour les serveurs de domaine Windows pour utiliser l'authentification Digest. Lorsque le message suivant s'affiche, cliquez sur Oui :
   L'authentification Digest fonctionne uniquement avec les comptes de domaine Windows 2000 et exige que les comptes stockent des mots de passe sous la forme de texte clair chiffré.
   
   Êtes-vous sûr de vouloir continuer ?
   REMARQUE : vous devez activer l'option de compte Enregistrer le mot de passe en utilisant un cryptage réversible pour tous les comptes d'utilisateurs.
10. Activez la case à cocher Authentification Windows intégrée pour utiliser l'authentification Windows intégrée.
    
    REMARQUE : cette méthode d'authentification était auparavant désignée par « Stimulation/réponse de Microsoft Windows NT » ou par « NT LAN Manager (NTLM) ».
11. Cliquez sur OK, puis dans la boîte de dialogue Propriétésnom_élément, cliquez sur OK. Si la boîte de dialogue Héritages outrepassés s'affiche, procédez comme suit :
    1. Cliquez sur Sélectionner tout pour appliquer les nouveaux paramètres d'authentification à tous les fichiers ou dossiers qui se trouvent dans l'élément que vous avez modifié.
    2. Cliquez sur OK.
12. Quittez Internet Information Services.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.