Como aceder a ficheiros de rede a partir de aplicações do IIS

Traduções de Artigos Traduções de Artigos
Artigo: 207671 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo fornece informações sobre problemas com acesso a ficheiros num computador diferente do servidor de Internet Information Server (IIS) de extensão ISAPI (Internet Server API), página ASP (Active Server Pages) ou aplicativo CGI (Common Gateway Interface). Este artigo lista alguns dos problemas que estão envolvidos e alguns métodos possíveis para tornar este trabalho.

Apesar deste artigo foi escrito principalmente no contexto de aceder a ficheiros em partilhas de rede, aplicáveis para ligações por pipe denominado bem os mesmos conceitos. Pipes nomeados são frequentemente utilizados para ligações de SQL Server e também para chamada de procedimento remoto (RPC, Remote Procedure Call) e comunicações COM (Component Object Model). Em particular, se ligar a um SQL Server através da rede está configurada para utilizar segurança integrada do Microsoft Windows NT, não é possível ligar devido a problemas que são descritos neste artigo. RPC e COM também poderão utilizar outros mecanismos de comunicação com esquemas de autenticação de rede semelhantes. Por conseguinte, os conceitos neste artigo podem se aplicam a uma grande variedade de mecanismos de comunicação de rede que podem ser utilizadas de aplicações do IIS.


Tipos de autenticação e representação

Quando o IIS serviços de um pedido de HTTP, o IIS executa representação para que acesso aos recursos para processar o pedido seja limitado correctamente. O contexto de segurança representado baseia-se o tipo de autenticação efectuada para o pedido. Cinco tipos diferentes de autenticação disponíveis a partir do IIS 4.0:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Tipos de tokens

Ou não é permitido o acesso a recursos de rede está dependente do tipo de token de representação sob o qual o pedido for processado.
  • Tokens de rede "Não" têm permissão para aceder a recursos de rede. (Os tokens de rede são denominados, porque este tipo de token é normalmente criado por um servidor quando um utilizador é autenticado através da rede. Para permitir que o servidor para utilizar uma rede token para agir como um cliente de rede e aceder a outro servidor é designado por "delegação" e é considerada uma falha de segurança possível.)
  • Tokens interactivos normalmente são utilizados quando autentica um utilizador local no computador. Tokens interactivos têm permissão para aceder a recursos através da rede.
  • Batch tokens são concebidos para fornecer um contexto de segurança em que processos executado. Batch tokens ter acesso à rede.
O IIS tem o conceito de um Texto normal de início de sessão. início de sessão de Limpar texto chama, devido ao facto de que o IIS tem acesso a tanto o nome de utilizador e a palavra-passe em texto simples. Pode controlar se um início de sessão Texto normal cria um token de rede, um token interactivo ou um token de secção, definindo a propriedade LogonMethod na metabase. Por predefinição, inícios de sessão de Texto normal recebe um token Interactive e tem acesso a recursos de rede. LogonMethod pode ser configurado no servidor, o site, o directório virtual, o directório ou o nível de ficheiro.

Acesso anónimo representa a conta configurada como utilizador anónimo para o pedido. <machinename>Por predefinição, o IIS tem uma conta única de utilizador anónimo denominada IUSR_ <nome_computador> é representada quando processa um pedido não autenticado. Por predefinição o IIS 4.0 tem uma funcionalidade configurável denominada "Activar a palavra-passe sincronização" que utiliza um sub-authority de segurança para criar o token automática. Tokens são criados desta forma são tokens de rede que "Não" tenham acesso a outros computadores na rede. Se desactivar a sincronização automática de palavra-passe, o IIS cria o token da mesma forma como oinício de Texto simples sessão mencionado anteriormente. Sincronização automática de palavras-passe só está disponível para contas que estão localizadas no mesmo computador como o IIS. Por conseguinte, se alterar a conta anónima para uma conta de domínio, pode utilizar a sincronização automática de palavra-passe e receberá um início de sessão Texto normal . A excepção é se instalar o IIS no controlador de domínio principal. Neste caso, as contas de domínio encontram no computador local. A conta anónima e a opção de a sincronização automática de palavra-passe podem ser configurados no servidor, o site, o directório virtual, o directório ou o nível de ficheiro.

Tem de ter o tipo de token correcto como o primeiro passo na aceder a um recurso na rede. Também deve representar uma conta que tenha acesso ao recurso através da rede. <machinename>Por predefinição, IUSR_ <nome_computador> conta que o IIS cria para pedidos anónimos existe apenas no computador local. <machinename>Mesmo se desactivar a sincronização automática de palavra-passe para que pode obter um Interactive token que pode aceder recursos de rede, IUSR_ <nome_computador> conta geralmente não possui acesso a maior parte dos recursos de rede porque se trata de uma conta que não é reconhecida noutros computadores. Se pretender aceder a recursos de rede com pedidos anónimos, tem de substituir a conta predefinida com uma conta num domínio na rede que possa ser reconhecida por todos os computadores. <machinename>Se instalar o IIS num controlador de domínio, IUSR_ <nome_computador> conta é uma conta de domínio e deve ser reconhecida pelo outros computadores na rede, sem efectuar a acção adicional.


Evitar problema

Seguintes são formas de evitar problemas quando acede a recursos de rede a partir da aplicação do IIS:
  • Manter os ficheiros no computador local.
  • Alguns métodos de comunicação de rede não requerem uma verificação de segurança. Um exemplo está a utilizar Windows sockets.
  • Pode fornecer acesso directo aos recursos da rede do computador, configurando um directório virtual para ser:
    "Uma partilha localizada noutro computador."
    Todos os acesso ao computador que partilha recursos de rede é efectuado no contexto de utilizador especificado na caixa de diálogo Ligar como. . Isto ocorre independentemente do tipo de autenticação está configurado para o directório virtual. Utilizando esta opção, todos os ficheiros na partilha de rede estão disponíveis a partir de browsers que aceder ao computador IIS.
  • Utilize a autenticação básica ou a autenticação anónima sem a sincronização automática de palavra-passe.

    Por predefinição, a representação que o Internet Information Server para a autenticação base fornece um token que pode aceder a recursos de rede (ao contrário do Windows NT Challenge/Response, que fornece um token que não é possível aceder a recursos de rede). Para a autenticação anónima, o token só pode aceder um recurso de rede se a sincronização automática de palavra-passe está desactivada. Por predefinição, A sincronização automática de palavra-passe está activada quando o Internet Information Server é instalado pela primeira vez. Num tal uma configuração predefinida, o token de utilizador anónimo não poderá aceder aos recursos de rede.
    259353Tem de introduzir palavra-passe manualmente depois de activar a sincronização de palavra-passe
  • Configure a conta anónima como uma conta de domínio.

    Isto permite pedidos anónimos de potencial acesso aos recursos através da rede. Para evitar que todos os pedidos anónimos tenham acesso à rede, tem de apenas se a conta anónima uma conta de domínio os directórios virtuais que necessitem de acesso especificamente.
  • Configurar a conta anónima com o mesmo nome de utilizador e palavra-passe do computador que está a partilhar recursos de rede e, em seguida, desactivar a sincronização automática de palavra-passe.

    Se efectuar este procedimento terá de fazer-se de que as palavras-passe correspondem exactamente. Esta abordagem só deve ser utilizada quando o "Configurar a conta anónima como uma conta de domínio" mencionado anteriormente não uma opção por algum motivo.
  • NullSessionShares e NullSessionPipes podem ser utilizados para permitir o acesso a uma partilha de rede específica ou a um pipe nomeado quando o pedido é processado com um token de rede.

    Se tiver um token de rede e tentar estabelecer uma ligação a um recurso de rede, o sistema operativo tenta estabelecer uma ligação como uma ligação não autenticados (referida como "Sessão NULL"). Esta definição de registo têm de ser efectuada no computador que está a partilhar o recurso de rede, não no computador do IIS. Se tentar aceder a um NullSessionShare ou NullSessionPipe com um token externos à rede, autenticação típica do Microsoft Windows é utilizada e o acesso ao recurso baseia-se os direitos de utilizador de conta do utilizador representado.
  • Pode potencialmente executar a seus próprios representação para criar um token de thread que tenha acesso de rede.

    A função LogonUser e a função ImpersonateLoggedOnUser podem ser utilizados para representar uma conta diferente. Isto requer que tenha o nome de utilizador texto normal e palavra-passe de outra conta disponível no código. LogonUser também requer que a conta que chama LogonUser tem o privilégio "Actuar como parte do sistema operativo" no Gestor de utilizadores. Por predefinição, a maior parte dos utilizadores que o IIS representa enquanto processa um pedido de HTTP não tem este direito de utilizador. No entanto, para "In Applications processo" Existem várias formas de fazer com que o actual contexto de segurança mudar para a conta LocalSystem, que as credenciais administrativas "Actuar como parte do sistema operativo". Para DLL de ISAPI que são executados no processo, a melhor forma de alterar o contexto de segurança que criou o IIS para a conta sistema local é chamar a função de RevertToSelf . <machinename>Se estiver a executar a aplicação do IIS "fora do processo", este mecanismo não funcionará por predefinição porque o processo está em execução em IWAM_ <nome_computador> conta e não a conta sistema local. <machinename>Por predefinição, o IWAM_ <nome_computador> "Não" têm as credenciais administrativas "Actuar como parte do sistema operativo".
  • Adicionar o componente é chamado a partir da página ASP para um pacote de servidor do Microsoft Transaction Server (MTS) ou a aplicação de servidor do COM + e, em seguida, especificar um utilizador específico como a identidade do pacote.

    Nota Executa o componente num ficheiro .exe separado que está fora do IIS.
  • Com autenticação de texto básico/simples, recomendamos que encriptar os dados utilizando SSL porque é muito fácil obter credenciais a partir de um rastreio de rede. Para obter mais informações sobre como instalar o SSL, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    228991Como criar e instalar um certificado SSL no Internet Information Server 4.0
Nota Se não esqueça que pode impedir o acesso de rede para pedidos anónimos onde a sincronização de palavras-passe está desactivada e pedidos são autenticados utilizando a autenticação básica ( Texto normal inícios de sessão) se definir a propriedade da metabase LogonMethod "2" (indicando que um início de sessão de rede é utilizado para criar o token de representação). Com esta definição, a única forma para pedidos evitar a limitação de token de rede é ligar NullSessionShares ou NullSessionPipes.

Não utilize letras de unidade mapeadas para partilhas de rede. Não só existem apenas 26 letras de controlador potenciais para seleccionar a partir de, mas se tentar utilizar uma letra de unidade mapeada no contexto de segurança diferente, poderão ocorrer problemas. Em vez disso, tem de utilizar nomes de convenção de nomenclatura universal (UNC) sempre aceder a recursos. O formato tem semelhante à seguinte:
\\MyServer\filesharename\directoryname\filename
Para obter mais informações sobre como utilizar UNC, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
280383Recomendações de segurança do IIS quando utiliza uma partilha UNC
A informação neste artigo refere-se apenas ao Internet Information Server 4.0. No Internet Information Server 5.0 (que está incluída no Windows 2000), existem alterações significativas novos tipos de autenticação e capacidades. Embora a maior parte os conceitos neste artigo aplicam-se mesmo assim para o IIS 5.0, os detalhes sobre os tipos de tokens de representação que são gerados com alguns esquemas de autenticação neste artigo aplicam-se estritamente a IIS 4.0.

319067Como executar aplicações não no contexto da conta do sistema
Se não é possível determinar o tipo de início de sessão está a ocorrer no servidor IIS para processar pedidos, pode activar a auditoria para os inícios de sessão e fim de sessão das. Siga estes passos:
  1. Clique em Iniciar , clique em definições , clique em Painel de controlo , clique em Ferramentas administrativas e, em seguida, clique em Política de segurança local .
  2. Depois de abrir Política de segurança local, no painel de vista de árvore para a esquerda, clique em Definições de segurança , clique em Políticas locais (Local Policies) e clique em Política de auditoria .
  3. Faça duplo clique em Auditar eventos de início de sessão e clique em com êxito e falha . Entradas de registo de eventos são adicionadas em registo de segurança. Pode determinar o tipo de início de sessão observando os detalhes do evento sob o tipo de início de sessão:
2 = Interactive
3 = Rede
4 = Batch
5 = Serviço

Referências

Para obter mais informações sobre a segurança de rede, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
124184Serviço executado como conta de sistema falha ao aceder à rede
180362Serviços e unidades redireccionadas
319067Como executar aplicações não no contexto da conta do sistema
280383Recomendações de segurança do IIS quando utiliza uma partilha UNC
259353Tem de introduzir palavra-passe manualmente depois de activar a sincronização de palavra-passe

Propriedades

Artigo: 207671 - Última revisão: 3 de julho de 2008 - Revisão: 6.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Server Application Programming Interface 4.0
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbhowtomaster kbhttp KB207671 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 207671

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com