Konfiguraci webové služby Internetová informační služba ověřování v systému Windows 2000

Překlady článku Překlady článku
ID článku: 308160 - Produkty, které se vztahují k tomuto článku.
Všem uživatelům důrazně doporučujeme upgradovat na Internetovou informační službu (IIS) verze 7.0 spouštěnou v systému Microsoft Windows Server 2008. Služba IIS 7.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením Internetové informační služby naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Další informace o službě IIS 7.0 naleznete na následujícím webu společnosti Microsoft:
http://www.IIS.NET/default.aspx?TabId=1
Poznámka
Tento článek se vztahuje na systém Windows 2000. Podporu pro systém Windows 2000 končí na 13 červenci 2010. Na Systém Windows 2000-podpora Solution Center je výchozí bod pro plánování strategie migrace ze systému Windows 2000. Další informace naleznete Zásady životního cyklu odborné pomoci společnosti Microsoft.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje konfiguraci ověřování požadavků založených na webu v Internetová informační služba (IIS) 5.0.

Princip ověřování webových

Webové ověřování je komunikace mezi webový prohlížeč a webový server, který obsahuje malý počet záhlaví Hyper Text Transfer Protocol (HTTP) a chybové zprávy.

Řízení toku komunikace je:
  1. Webový prohlížeč odešle žádost, například HTTP GET.
  2. Na webovém serveru provádí kontrolu ověření. Pokud to není úspěšné, protože je vyžadováno ověřování, server odešle zpět chybová zpráva podobná následující:
    Nemáte oprávnění k zobrazení této stránky.

    Nemáte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí zadaná pověření.
    Informace je zahrnuta v této zprávě, webového prohlížeče můžete znovu odeslat požadavek jako požadavek na ověření.
  3. Webový prohlížeč použije k vytvoření nového požadavku, který obsahuje informace o ověřování odpověď serveru.
  4. Na webovém serveru provádí kontrolu ověření. Pokud kontrola proběhne úspěšně, webový server odešle data, která původně požadovali zpět do webového prohlížeče.

Metody ověřování

Poznámka: pomocí některé z následujících metod ověřování, je třeba použít jednotky, které jsou formátovány pomocí systému souborů NTFS protože jednotek naformátovaných v systému souborů NTFS udržovat nejvyšší úroveň zabezpečení.

Služba IIS podporuje pět následujících metod ověřování webu:

Anonymní ověřování

Služba IIS vytvoří IUSR_název_počítače účet (kde název_počítače je název počítače) k ověřování anonymních uživatelů při požadavku webového obsahu. Tento účet poskytuje uživateli právo přihlásit se místně. Anonymní uživatelský přístup použít libovolný platný účet systému Windows můžete obnovit.

Poznámka: můžete nastavit různé anonymní účty u různých webových serverů, virtuálních adresářů nebo fyzické adresáře a soubory.

Je-li počítač se systémem Windows 2000 jako samostatný server IUSR_název_počítače účet je na místním serveru. Pokud je server řadičem domény, IUSR_název_počítače účet je definován pro doménu.

Základní ověřování

Chcete-li omezit přístup k souborům na serveru WWW ve formátu NTFS použijte základní ověřování. Pomocí základního ověřování musí uživatel zadat pověření a přístup je založen na ID uživatele.

Použít základní ověřování, každému uživateli udělte právo přihlásit se místně a k usnadnění správy přidat do skupiny, která má přístup k potřebné soubory.

Poznámka: vzhledem k tomu, že pověření uživatele jsou kódovány pomocí kódování Base64 ale nejsou šifrována při přenosu sítí, základní ověřování se považuje za nezabezpečené formu ověřování.

Integrované ověřování systému Windows

Integrované ověřování systému Windows, je bezpečnější než základní ověřování a funguje dobře v prostředí sítě Intranet, kde mají uživatelé účty domény systému Windows. V integrované ověřování systému Windows prohlížeči pokusí pomocí pověření aktuálního uživatele z domény přihlášení a pokud se to nezdaří, bude uživatel vyzván k zadání uživatelského jména a hesla. Pokud používáte integrované ověřování systému Windows, není přenášena hesla uživatele na server. Pokud je uživatel přihlášen k místnímu počítači jako uživatel domény, není nutné znovu ověřit při přístupu uživatele k počítači v doméně uživatele.

Poznámka: nelze použít integrované ověřování systému Windows prostřednictvím serveru proxy.

Ověřování algoritmem Digest

Ověřování algoritmem Digest řeší mnohé nedostatky základního ověřování. Při použití ověřování algoritmem digest, není heslo odesláno jako prostý text. Kromě toho můžete použít ověřování algoritmem digest prostřednictvím serveru proxy. Ověřování algoritmem Digest používá mechanismus výzvy a odezvy (integrovaný používá ověřování systému Windows) Pokud je heslo odesláno v šifrovaném formátu. Použití ověřování algoritmem digest:
  • Systémem Windows 2000 server musí být v doméně.
  • Je nutné nainstalovat soubor IISSuba.dll v řadiči domény. Tento soubor je zkopírován automaticky během instalace systému Windows 2000 Server.
  • Je nutné nakonfigurovat všechny uživatelské účty s povolenou možností účet ukládat hesla pomocí reverzibilního šifrování . Povolení této možnosti účtu vyžaduje obnovit nebo znovu zadat heslo.
Poznámka: je nutné použít aplikaci Microsoft Internet Explorer 5.0 nebo novější jako webový prohlížeč používáte ověřování algoritmem digest.

Mapování klientských certifikátů

Mapování klientských certifikátů je metoda, kde je vytvořena "mapování" mezi certifikát a uživatelský účet. V tomto modelu uživatel předloží certifikát a systém vyhledá mapování k určení, který uživatelský účet pro přihlášení. Můžete mapování certifikátu na uživatelský účet systému Windows v jednom ze dvou způsobů:
  • Pomocí služby Active Directory.

    - nebo -
  • Podle pravidel, které jsou definovány v rámci služby IIS.
Další informace o mapování klientských certifikátů na uživatelské účty Hledat v dokumentaci služby IIS pro mapování klientských certifikátů. Pokud máte nainstalovanou službu IIS, můžete zobrazit dokumentaci ke službě IIS zadáním následující adresy URL v adresním řádku webového prohlížeče kde localhost je název místního hostitele:
http://localhost/iisHelp/iis/misc/default.ASP
Další informace o použití certifikátů klepněte na následující číslo článku databáze Microsoft Knowledge Base:
290625 Konfigurace protokolu SSL v testovacím prostředí Windows 2000 IIS 5 pomocí Certificate Server 2.0
Každá metoda ověřování, řízení přístupu k tyto položky na serveru IIS můžete nakonfigurovat:
  • Veškerý obsah webu, jehož hostitelem je server služby IIS.
  • Jednotlivé webové servery, které jsou hostovány na serveru IIS.
  • Jednotlivé virtuální adresáře nebo fyzické adresáře, které jsou na webu.
  • Jednotlivé stránky nebo soubory, které jsou na webu.

Jak nakonfigurovat službu IIS ověřování na webu

  1. Pomocí účtu správce přihlaste se k počítači s webovým serverem.
  2. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Správce služeb sítě Internet.

    Modul snap-in Internetová informační služba spustí.
  3. Ve stromu konzoly klepněte na položku *<b00> </b00> název počítačekde název počítače je název počítače.
  4. Jedna z následujících položek, klepněte pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti:
    • Konfigurace ověřování pro veškerý obsah webu, jehož hostitelem je na serveru služby IIS, klepněte pravým tlačítkem myši *<b00> </b00> název počítače.
    • Konfigurace ověřování pro jednotlivý webový server, klepněte pravým tlačítkem myši webový server, který chcete.
    • Konfigurace ověřování pro virtuální adresář nebo fyzický adresář na serveru WWW, klepněte na webový server, který chcete a potom klepněte pravým tlačítkem myši na adresář, který chcete, jako je například _vti_pvt.
    • Konfigurace ověřování pro jednotlivé stránky nebo souboru na webu, klepněte na webový server, který chcete, klepněte na složku obsahující soubor nebo stránku, kterou chcete a pak klepněte pravým tlačítkem myši na soubor nebo stránku, kterou chcete.
  5. V Název položky Vlastnosti Dialogové okno kde Název položky Název položky, kterou jste vybrali, klepněte na kartu Zabezpečení adresáře .

    Poznámka: Pokud je vybraná položka je samostatný soubor, klepněte na kartu Zabezpečení souboru .
  6. V rámci anonymního přístupu a ověřováníklepněte na tlačítko Upravit.
  7. Klepnutím zaškrtněte políčko anonymní přístup k zapnutí anonymního přístupu. Vypněte anonymní přístup, klepnutím zrušte zaškrtnutí tohoto políčka.

    Poznámka: Pokud vypnete anonymní přístup, je nutné nakonfigurovat určitou formu ověřovaný přístup.
    1. Chcete-li změnit účet používaný pro anonymní přístup k tomuto prostředku, klepněte na tlačítko Upravit vedle účet použitý pro anonymní přístup.
    2. V dialogovém okně Účet anonymního uživatele klepněte na uživatelský účet, který chcete použít pro anonymní přístup.
    3. Klepnutím zrušte zaškrtnutí políčka Povolit kontrolu hesla službou IIS , pokud chcete použít rozhraní API systému Windows LogonUser() pro ověření uživatele.

      Poznámka: po vypnutí této volby ovládací prvek heslo, to přinutí IIS použít běžné ověřování a místně se přihlásit k účtu. Měli byste vypnout tuto možnost, pokud uživatelé zaznamenat potíže s přístup k prostředkům, jako jsou soubory nebo databáze aplikace Microsoft Access v počítači v síti.
    4. Klepněte na tlačítko OK.
  8. Ve skupinovém rámečku přístup na základě ověření, klepněte na tlačítko Vybrat základní ověřování (heslo je odesláno jako nezašifrovaný text) políčko Zapnout základní ověřování. Pokud se zobrazí následující zpráva, klepněte na tlačítko Ano:
    Možnost ověření výsledků výběru hesla budou přenášena sítí bez šifrování dat. Uživatel, který by chtěl narušit zabezpečení vašeho systému by mohl pomocí analyzátoru protokolu zjistit hesla uživatelů během procesu ověřování. Další podrobnosti o ověřování uživatelů naleznete v nápovědě online. Toto upozornění se nevztahuje na připojení HTTPS (nebo SSL).

    Opravdu že chcete pokračovat?
    1. Vyberte doménu, se kterým lze ověřovat uživatele, kteří používají základní ověřování, klepněte na tlačítko Upravit vedle položky Vyberte výchozí doménu.
    2. Zadejte název domény, který má v poli Název domény a potom klepněte na tlačítko OK.

      Poznámka: Pokud máte obavy o zabezpečení v síti intranet, protože základní ověřování přenáší informace uživatelské jméno a heslo ve formátu prostého textu, můžete použít základní ověřování spolu s protokol SSL (Secure Sockets Layer) (SSL).
  9. Klepnutím zaškrtněte políčko ověřování algoritmem Digest pro doménové servery systému Windows pro použití ověřování algoritmem digest. Pokud se zobrazí následující zpráva, klepněte na tlačítko Ano:
    Ověřování algoritmem Digest pracuje se pouze účty domény systému Windows 2000 a vyžaduje účty, které chcete ukládat hesla jako zašifrovaný prostý text.

    Opravdu že chcete pokračovat?
    Poznámka: je nutné konfigurovat uživatelské účty s zapnuta možnost účet ukládat hesla pomocí reverzibilního šifrování .
  10. Klepnutím zaškrtněte políčko integrované ověřování systému Windows na integrované ověřování systému Windows.

    Poznámka: tuto metodu ověřování byla dříve označována jako Microsoft Windows NT Challenge/Response nebo NT LAN Manager (NTLM).
  11. Klepněte na tlačítko OKa potom Název položky Vlastnosti Dialogové okno klepněte na tlačítko OK. Pokud se otevře dialogové okno Potlačení dědičnosti :
    1. Klepnutím na tlačítko Vybrat vše nové ověření nastavení použít pro všechny soubory nebo složky, které jsou v rámci položky, kterou jste změnili.
    2. Klepněte na tlačítko OK.
  12. Ukončete Internetová informační služba.

Odkazy

Další informace získáte klepnutím na následující čísla článků znalostní báze Microsoft Knowledge Base:
297954 Odstraňování potíží s webovým serverem v systému Windows 2000
299970 Jak chránit systémem IIS 4.0 nebo 5 webové stránky pomocí oprávnění NTFS
216705 Postup při nastavení oprávnění pro Web aplikace FrontPage na serveru IIS
222028 Nastavení ověřování algoritmem Digest pro použití s Internetová informační služba 5.0

Vlastnosti

ID článku: 308160 - Poslední aktualizace: 31. října 2013 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Klíčová slova: 
kbhowtomaster kbmt KB308160 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 308160

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com