Jak získat přístup k síťovým souborům z aplikací služby IIS

Překlady článku Překlady článku
ID článku: 207671 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek obsahuje informace o problémech s přístupem k počítači serveru Internet Information Server (IIS) než soubory z rozšíření Internet Server API (ISAPI), stránky Active Server Pages (ASP) nebo aplikace Common Gateway Interface (CGI). Tento článek uvádí některé problémy, které jsou zapojeny a některé možné způsoby, aby tato práce.

Přestože tento článek je určen především v kontextu přístupu k souborům v síťových sdílených položkách koncepty použít připojení pojmenovaných kanálů jako dobře. Pojmenované kanály se často používají pro připojení k serveru SQL Server a také vzdálené volání procedur (RPC) a komunikační Component Object Model (COM). Zejména, pokud se připojujete k serveru SQL Server, přes síť je nakonfigurována pro použití integrovaného zabezpečení systému Windows NT Microsoft, se nelze připojit z důvodu problémů popsaných v tomto článku. RPC a modelu COM může použít také jiné mechanismy komunikace, Máte podobné sítě schémata ověřování. Proto koncepty v tomto článku lze použít pro širokou škálu síťové komunikace mechanismy, které mohou být použity z aplikací služby IIS.


Typy ověřování a zosobnění

V případě, že služba IIS služby požadavku protokolu HTTP, služba IIS provádí zosobnění, přístup k prostředkům pro zpracování požadavku je omezena odpovídajícím způsobem. Na kontext zabezpečení zosobněného je založena na typ ověřování provést požadavek. Pět různých typů ověřování k dispozici ze služby IIS 4.0 jsou:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Typy tokenů

Zda je povolen přístup k síťovým prostředkům je závislá druh token zosobnění, pod kterým je zpracováván požadavek.
  • Tokeny sítě jsou povoleny "Ne" přístup k síťovým prostředkům. (Tokeny sítě jsou pojmenovány, protože tento typ tokenu je tradičně vytvořené serverem při ověřování uživatele v síti. K umožňuje serveru pracovat jako klient sítě pomocí sítě token a přístup k jinému serveru, se nazývá "delegace" a je považován za případnou Chyba zabezpečení.)
  • Interaktivní tokeny se tradičně používají při ověřování místního uživatele v počítači. Interaktivní tokeny jsou oprávněni přistupovat k prostředkům v síti.
  • Dávkové tokeny jsou navržena pro poskytování kontext zabezpečení, ve kterém spuštění dávkových úloh. Tokeny dávkový přístup k síti.
Služba IIS je pojem Prostý Text přihlášení. Prostý Text přihlášení je pojmenován, protože skutečnost, že služba IIS má přístup k uživatelské jméno a heslo ve formátu prostého textu. Můžete určit, zda Prostý Text přihlášení vytvoří síť token, Interaktivní token nebo dávkové token nastavením LogonMethod vlastnosti v metabáze. Ve výchozím nastavení, Prostý Text přihlášení se zobrazí interaktivní token a mít přístup k síťovým prostředkům. Na LogonMethod lze konfigurovat v server, web, virtuální adresář, adresář nebo na úrovni souboru.

Anonymní přístup zosobňuje účet nakonfigurován jako anonymní uživatel. pro požadavek. Ve výchozím nastavení služba IIS má jeden anonymní uživatelský účet nazývaný IUSR_<machinename> považováno při zpracování požadavku neověřený. Ve výchozím nastavení služba IIS 4.0 má konfigurovatelné funkce "Povolit automatickou synchronizaci hesla" názvem, který používá zabezpečení podautority pro vytvoření tokenu. Tokeny, které jsou vytvořeny tímto způsobem jsou síť tokeny, které "" nemají přístup k jiným počítačům síť. Pokud zakážete automatickou synchronizaci hesla, vytvoří služba IIS token stejným způsobem jako<b00></b00></machinename>Prostý Text přihlášení již bylo zmíněno dříve. Automatickou synchronizaci hesla je dostupná pouze pro účty, které jsou umístěny ve stejném počítači jako služba IIS. Proto pokud změníte své anonymní účet na účet domény, nelze použít Automatickou synchronizaci hesla a zobrazí Prostý Text přihlášení. Výjimkou je instalace služby IIS na primární řadič domény. V Tento případ účty domény jsou v místním počítači. Anonymní může být možnost automatickou synchronizaci hesla a účtu nakonfigurovány na serveru, na webu, virtuální adresář, adresář, nebo úrovni souboru.

Jako první krok při přístupu k prostředku nemáte správný typ tokenu v síti. Musí také zosobnění účtu, který má přístup k prostředku prostřednictvím sítě. Ve výchozím nastavení IUSR_<machinename> účet vytvoří služba IIS pro anonymní požadavky existuje pouze v místním počítači. I v případě, že zakážete automatickou synchronizaci hesla tak, aby Interaktivní token, který má přístup k síťovým prostředkům, můžete získat IUSR_<machinename> obvykle nemá přístup k Většina síťových prostředků, protože se jedná o účet, který nebyl rozpoznán v jiných počítačích. Chcete-li získat přístup k síťovým prostředkům s anonymní požadavky musí nahradit výchozí účet s účet v doméně v síti, který umožňuje rozpoznat všechny počítače. Pokud instalace služby IIS v řadiči domény IUSR_<machinename> účet je účet domény a musí je rozpoznáván ostatními počítači v síti bez ohledu na další akce. </machinename></machinename></machinename>


Předcházení problému

Následující způsoby předejít problémům při přístupu k prostředkům v síti z aplikace služby IIS:
  • Zachovat soubory v místním počítači.
  • Některé síťové komunikace metody nevyžadují kontrola zabezpečení. Příklad používá rozhraní Windows sockets.
  • Můžete poskytnout přímý přístup k síťovým prostředkům pomocí počítače Konfigurace virtuálního adresáře je:
    "Sdílené umístěný v jiném počítači."
    Veškerý přístup k počítači, který sdílí prostředky sítě se provádí v osoby uvedené v souvislosti Připojte jako... Dialogové okno. K této situaci dochází bez záležitosti, jaký typ ověřování je nakonfigurován pro virtuální adresář. Pomocí této možnosti jsou k dispozici prohlížečům získat přístup k počítači se službou IIS všechny soubory v síťové sdílené položce.
  • Použijte základní ověřování nebo anonymní ověřování bez automatickou synchronizaci hesla.

    Ve výchozím nastavení zosobnění, která nemá Internet Information Server pro základní ověřování poskytuje token, který má přístup k síťovým prostředkům (na rozdíl od systému Windows NT Challenge/Response, která obsahuje token, který nelze získat přístup k prostředkům v síti). Anonymní ověřování token přístup pouze k síťovému prostředku Pokud automatickou synchronizaci hesla je zakázána. Automatickou synchronizaci hesla je ve výchozím nastavení povolena při první instalaci serveru Internet Information Server. V takových výchozí konfiguraci nelze token anonymního uživatele přístup k síťovým prostředkům.
    259353 Musíte zadat heslo ručně po přepnutí synchronizace hesla
  • Konfigurujte anonymní účet jako účet domény.

    To umožňuje anonymní požadavky z potenciální přístup k prostředkům v rámci síť. Pro všechny anonymní požadavky zabránili přístupu k síti, můžete musí provést anonymní účet účtem domény na virtuální adresáře, které konkrétně požadují přístup.
  • Konfigurovat anonymní účet pomocí stejné uživatelské jméno a heslo v počítači se sdíleným síťovým prostředkům a poté zakažte automatickou synchronizaci hesla.

    V takovém případě musíte přesvědčit, že hesla přesně. Tento přístup musí být pouze použité při "Konfigurovat anonymní účet jako účet domény" výše zmíněných není možné z nějakého důvodu.
  • NullSessionShares a NullSessionPipes lze povolit přístup konkrétní síťové sdílené položce, nebo k pojmenovanému kanálu při zpracování vašeho požadavku s tokenem sítě.

    Máte-li síť token a pokuste se navázat připojení k síťovému prostředku operačního systému pokusí se navázat připojení jako připojení ověření (dále jako "NULOVÉ relace"). Toto nastavení registru musí být provedena v počítači, který sdílí prostředek sítě, není v počítači se službou IIS. Pokud jste Při pokusu o přístup k NullSessionShare nebo NullSessionPipe s mimo síť token, typické použití ověřování systému Microsoft Windows a přístup k prostředek je založen na účet uživatelská práva zosobněného uživatele.
  • Potenciálně můžete provést vlastní zosobnění na vytvoření tokenu podprocesu, který nemá přístup k síti.

    Na LogonUser funkce a na Metoda ImpersonateLoggedOnUser funkce lze vydávat za jinou účet. To vyžaduje, aby byl prostý Text uživatelské jméno a heslo do kódu je jiného účtu. LogonUser také vyžaduje, aby účet, který volá LogonUser má "Jednat jako část operačního systému" oprávnění ve Správci uživatelů. Ve výchozím nastavení většina uživatelů, kteří IIS zosobňuje při zpracování požadavku protokolu HTTP není nutné toto uživatelské právo. Však "Proces aplikací" existuje několik způsobů, jak způsobit vaší aktuální kontext zabezpečení, změňte účet LocalSystem, který nemá máte pověření pro správu "Jednat jako část operačního systému". U knihoven DLL rozhraní ISAPI který spouštěna vnitroprocesově, nejlépe změnit kontext zabezpečení že služby IIS byl vytvořen účet LocalSystem, je voláníRevertToSelf funkce. Pokud používáte aplikace služby IIS "z Proces"Tento mechanismus nefunguje ve výchozím nastavení je proces spuštěny IWAM_<machinename> účtu a není místní systém účet. Standardně IWAM_<machinename> "" nemá "jednat jako část operační systém"pověření pro správu.</machinename></machinename>
  • Přidat součást, která je volána ze stránky ASP balíčků serveru Microsoft Transaction Server (MTS) nebo aplikace modelu COM + serveru a identitu balíčku zadejte konkrétního uživatele.

    Poznámka: Je komponenta spuštěna v samostatných exe soubor, který je mimo služby IIS.
  • Ověřování basic a vymazat text doporučujeme šifrovat data pomocí protokolu SSL, protože je velmi snadné získat pověření od trasování v síti. Další informace o instalaci protokolu SSL klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    228991Vytvoření a instalaci certifikátu SSL v Internet Information Server 4.0
Poznámka: Nezapomněli, že můžete zabránit přístupu k síti pro anonymní požadavky, kde je zakázána synchronizace hesel a požadavky jsou ověřovány pomocí základního ověřování)Prostý Text přihlášení) nastavíte LogonMethod Vlastnost metabáze "2" (což znamená, že přihlášení k síti se používá k vytvoření token zosobnění). Toto nastavení je připojit k NullSessionShares nebo NullSessionPipes pouze tak požadavky, aby omezení sítě token.

Nepoužívejte písmena jednotek na sdílené položky v síti. Není pouze existují pouze potenciální ovladač 26 písmen vybírat, ale pokud se pokusíte Chcete-li použít písmeno jednotky, který je mapován v odlišném kontextu zabezpečení, může dojít k problémům. Místo toho je vždy nutné použít Universal Naming Convention Názvy (UNC) získat přístup k prostředkům. Formát musí vypadat podobně jako následující:
\\MyServer\filesharename\directoryname\filename
Další informace o použití UNC klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
280383Doporučení pro zabezpečení služby IIS pomocí sdílené složce UNC
Informace v tomto článku se vztahuje pouze na informace z Internetu Server 4.0. Internet Information Server 5.0 (která je součástí systému Windows Existují významné změny nové ověření 2000), typy a možnosti. Ačkoli většina konceptů v tomto článku stále se u služby IIS 5.0, podrobnosti o druhy zosobnění tokeny, které se generují se určitá schémata ověřování v tomto článku použít výhradně na serveru IIS 4.0.

319067 Jak spustit aplikace není v kontextu účtu system
Pokud nelze určit, jaký typ přihlášení je které se vyskytují v serveru IIS zpracovávat požadavky, můžete zapnout auditování pro přihlášení a odhlášení. Postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Nastavení, klepněte na tlačítko Ovládací panely, klepněte na tlačítko Nástroje pro správua klepněte na tlačítko Místní zásady zabezpečení.
  2. Po otevření místní zásady zabezpečení v levém podokně strom, klepněte na tlačítko Nastavení zabezpečení, klepněte na tlačítko Místní zásadya klepněte na tlačítko Zásady auditu.
  3. Poklepejte na položku Auditovat události přihlášení a potom klepněte na tlačítko Úspěch a neúspěch. Položky protokolu událostí přidáno do protokolu zabezpečení. Můžete určit druh přihlášení pomocí prohlížení podrobností událostí ve skupinovém rámečku typ přihlášení:
2 = Interactive
3 = Síť
4 = Dávky
5 = Služba

Odkazy

Další informace o zabezpečení sítě klepněte na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
124184Služba běží jako systémový účet dojde k chybě při přístupu k síti
180362 Služby a s přesměrovanými jednotkami
319067 Jak spustit aplikace není v kontextu účtu system
280383 Doporučení pro zabezpečení služby IIS pomocí sdílené složce UNC
259353 Musíte zadat heslo ručně po přepnutí synchronizace hesla

Vlastnosti

ID článku: 207671 - Poslední aktualizace: 26. dubna 2011 - Revize: 9.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Server 3.0
Klíčová slova: 
kbhowtomaster kbhttp kbmt KB207671 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:207671

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com