CÓMO: Configurar la autenticación Web de Servicios de Internet Information Server en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 308160 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E308160
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo configurar la autenticación para solicitudes Web en Servicios de Microsoft Internet Information Server (IIS) 5.0.

Cómo funciona la autenticación Web

La autenticación Web es una comunicación entre el explorador Web y el servidor Web donde participan un pequeño número de encabezados del Protocolo de transferencia de hipertexto (HTTP) y mensajes de error.

El flujo de comunicación es el siguiente:
  1. El explorador Web hace una solicitud, como HTTP-GET.
  2. El servidor Web realiza una comprobación de autenticación. Si no es correcta porque se requiere autenticación, el servidor devuelve un mensaje de error similar al siguiente:
    You are not authorized to view this page

    You do not have permission to view this directory or page using the credentials you supplied.
    El explorador Web puede utilizar la información incluida en este mensaje para volver a enviar la solicitud como una solicitud autenticada.
  3. El explorador Web utiliza la respuesta del servidor para crear una nueva solicitud que contiene información de autenticación.
  4. El servidor Web realiza una comprobación de autenticación. Si la comprobación es correcta, el servidor Web devuelve al explorador Web los datos solicitados inicialmente.

Métodos de autenticación

NOTA: con algunos de los métodos de autenticación siguientes es necesario utilizar unidades formateadas con el sistema de archivos NTFS ya que las unidades con formato NTFS son las que tienen el mayor grado de seguridad.

IIS acepta los cinco métodos de autenticación Web siguientes:

Autenticación anónima

IIS crea la cuenta IUSR_ nombreDeEquipo (donde nombreDeEquipo es el nombre del equipo) para autenticar usuarios anónimos cuando solicitan contenido Web. Esta cuenta concede al usuario el derecho de iniciar sesión localmente. Puede restablecer el acceso de los usuarios anónimos para que utilicen cualquier cuenta válida de Windows.

NOTA: es posible configurar distintas cuentas anónimas para diferentes sitios Web, directorios virtuales o directorios físicos y archivos.

Si el equipo basado en Windows 2000 es un servidor independiente, la cuenta IUSR_ nombreDeEquipo está en el servidor local. Si el servidor es un controlador de dominio, la cuenta IUSR_ nombreDeEquipo está definida para el dominio.

Autenticación básica

Utilice la autenticación básica para restringir el acceso a los archivos de un servidor Web con formato NTFS. Con la autenticación básica, el usuario debe especificar las credenciales y el acceso se basa en el Id. de usuario.

Para utilizar la autenticación básica, conceda a cada usuario el derecho a iniciar sesión localmente y, para simplificar la administración, agrégueles a un grupo que tenga acceso a los archivos necesarios.

NOTA: como las credenciales de usuario están codificadas con Base64 pero no se cifran cuando se transmiten a través de la red, la autenticación básica se considera un método inseguro de autenticación.

Autenticación de Windows integrada

La autenticación de Windows integrada es más segura que la autenticación básica y funciona bien en un entorno de intranet en el que los usuarios tienen cuentas de dominio de Windows. En la autenticación de Windows integrada, el explorador intenta utilizar las credenciales del usuario actual desde un inicio de sesión en dominio y, si se produce un error, se pide al usuario que especifique un nombre de usuario y una contraseña. Si utiliza la autenticación de Windows integrada, la contraseña del usuario no se transmite al servidor. Si el usuario ha iniciado sesión en el equipo local como un usuario del dominio, no tiene que autenticarse de nuevo cuando tiene acceso a un equipo de la red en dicho dominio.

NOTA: no puede utilizar la autenticación de Windows integrada a través de un servidor proxy.

Autenticación de texto implícita

La autenticación de texto implícita resuelve muchos de los puntos débiles de la autenticación básica. Cuando se utiliza la autenticación de texto implícita la contraseña no se envía como texto sin cifrar. Además, puede utilizar la autenticación de texto implícita mediante un servidor proxy. La autenticación de texto implícita utiliza un mecanismo de desafío/respuesta (que utiliza la autenticación de Windows integrada) en el que se envía la contraseña en un formato cifrado. Para utilizar la autenticación de texto implícita:
  • El servidor basado en Windows 2000 debe estar en un dominio.
  • Debe instalar el archivo IISSuba.dll en el controlador de dominio. Este archivo se copia automáticamente durante la instalación de Windows 2000 Server.
  • Debe configurar todas las cuentas de usuario con la opción de cuenta Almacenar contraseña utilizando cifrado reversible habilitada. Para habilitar esta opción de cuenta se debe restablecer o volver a especificar la contraseña.
NOTA: tiene que utilizar Microsoft Internet Explorer 5.0 o posterior como explorador Web si está empleando la autenticación de texto implícita.

Asignación de certificados de cliente

La asignación de certificados de cliente es un método en el que se crea una "asignación" entre un certificado y una cuenta de usuario. En este modelo, un usuario presenta un certificado y el sistema examina la asignación para determinar qué cuenta de usuario debe iniciar sesión. Hay dos formas de asignar un certificado a una cuenta de usuario de Windows:
  • Mediante Active Directory.

    O bien
  • Mediante reglas definidas en IIS.
Para obtener información adicional acerca de cómo asignar certificados de cliente a cuentas de usuario, busque Asignación de certificados de cliente en la documentación de IIS. Si tiene IIS instalado, puede consultar la documentación de IIS si escribe la siguiente dirección URL en el cuadro de dirección del explorador Web, donde localhost es el nombre del host local:
http://localhost /iisHelp/iis/misc/default.asp
Para obtener información adicional acerca de cómo utilizar certificados, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
290625 How to Configure SSL in a Windows 2000 IIS 5 Test Environment Using Certificate Server 2.0
Puede configurar cada método de autenticación para controlar el acceso a los elementos siguientes en el servidor de IIS:
  • Todo el contenido Web alojado en el servidor de IIS.
  • Sitios Web individuales alojados en el servidor de IIS.
  • Directorios virtuales o físicos individuales de un sitio Web.
  • Páginas o archivos individuales de un sitio Web.

Cómo configurar la autenticación de un sitio Web de IIS

  1. Utilice una cuenta administrativa para iniciar sesión en el equipo servidor Web.
  2. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Administrador de servicios Internet.

    Se iniciará el complemento Servicios de Internet Information Server.
  3. En el árbol de consola, haga clic en * nombre de equipo donde nombre de equipo es el nombre del equipo.
  4. Haga clic con el botón secundario del mouse (ratón) en uno de los elementos siguientes y, a continuación, haga clic en Propiedades:
    • Para configurar la autenticación para todo el contenido Web alojado en el servidor de IIS, haga clic con el botón secundario del mouse (ratón) en * nombre de equipo .
    • Para configurar la autenticación para un sitio Web individual, haga clic con el botón secundario del mouse (ratón) en el sitio Web que desee.
    • Para configurar la autenticación para un directorio virtual o un directorio físico de un sitio Web, haga clic en el sitio Web que desee y, después, haga clic con el botón secundario del mouse (ratón) en el directorio que desee, como _vti_pvt .
    • Para configurar la autenticación para una página o un archivo individual de un sitio Web, haga clic en el sitio Web que desee, haga clic en la carpeta que contiene el archivo o la página que desee y, después, haga clic con el botón secundario del mouse (ratón) en el archivo o en la página que desee.
  5. En el cuadro de diálogo Propiedades de Nombre de elemento, donde Nombre de elemento es el nombre del elemento seleccionado, haga clic en la ficha Seguridad de directorios.

    NOTA: si el elemento seleccionado es un archivo individual, haga clic en la ficha Seguridad de archivos.
  6. En Control de autenticación y acceso anónimo , haga clic en Modificar.
  7. Haga clic para activar la casilla de verificación Acceso anónimo con el fin de activar el acceso anónimo. Para desactivar el acceso anónimo, desactive esta casilla de verificación.

    NOTA: si desactiva el acceso anónimo, tendrá que configurar algún método de acceso autenticado.
    1. Para cambiar la cuenta utilizada para el acceso anónimo a este recurso, haga clic en Modificar junto a Cuenta usada para acceso anónimo .
    2. En el cuadro de diálogo Cuenta de usuario anónimo, haga clic en la cuenta de usuario que desee utilizar para el acceso anónimo.
    3. Desactive la casilla de verificación Permitir que IIS controle las contraseñas si desea utilizar la API de Windows LogonUser() para la autenticación de usuarios.

      NOTA: al desactivar esta opción de control de contraseñas, se fuerza a IIS a utilizar la autenticación normal e iniciar sesión con la cuenta de manera local. Debe desactivar esta opción si los usuarios tienen problemas de acceso a los recursos, como archivos o bases de datos de Microsoft Access en un equipo de la red.
    4. Haga clic en Aceptar.
  8. En Acceso autenticado , haga clic para activar la casilla de verificación Autenticación básica (la contraseña se envió en texto sin cifrar) con el fin de activar la autenticación básica. Cuando aparezca el mensaje siguiente, haga clic en :
    La opción de autenticación que ha seleccionado hace que las contraseñas se transmitan a través de la red sin cifrado de datos. Alguien que intente poner en peligro la seguridad del sistema puede utilizar un analizador de protocolos para examinar las contraseñas de usuario durante el proceso de autenticación. Para obtener más detalles acerca de la autenticación de usuarios, consulte la Ayuda en pantalla. Esta advertencia no es aplicable a las conexiones HTTPS (o SSL).

    ¿Está seguro de que desea continuar?
    1. Para seleccionar un dominio con el que autenticar usuarios que están usando la autenticación básica, haga clic en Modificar junto a Seleccione un dominio predeterminado .
    2. Escriba el dominio que desee en el cuadro Nombre de dominio y, a continuación, haga clic en Aceptar.
  9. Haga clic para activar la casilla de verificación Autenticación de texto implícita para servidores de dominio de Windows con el fin de utilizar autenticación de texto implícita. Cuando aparezca el mensaje siguiente, haga clic en :
    La autenticación de texto implícita sólo funciona con cuentas de dominio de Windows 2000 y requiere que las cuentas almacenen las contraseñas como texto cifrado sin formato.

    ¿Está seguro de que desea continuar?
    NOTA: debe configurar las cuentas de usuario con la opción de cuenta Almacenar contraseña utilizando cifrado reversible activada.
  10. Haga clic para activar la casilla de verificación Autenticación de Windows integrada con el fin de utilizar autenticación de Windows integrada.

    NOTA: este método de autenticación se denominaba antes Desafío/Respuesta de Microsoft Windows NT o NT LAN Manager (NTLM).
  11. Haga clic en Aceptar y después, en el cuadro de diálogo Propiedades de Nombre de elemento, haga clic en Aceptar. Si aparece el cuadro de diálogo Herencia omitida:
    1. Haga clic en Seleccionar todo para aplicar la nueva configuración de autenticación a todos los archivos o las carpetas que haya dentro del elemento modificado.
    2. Haga clic en Aceptar.
  12. Salga de Servicios de Internet Information Server.

Referencias

Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
297954 CÓMO: Solucionar problemas del servidor Web de Windows 2000
299970 CÓMO: Utilizar la seguridad de NTFS para proteger una página Web que se ejecuta en IIS 4.0 ó 5.0
216705 How to Set Permissions on a FrontPage Web on IIS
222028 Setting Up Digest Authentication for Use with Internet Information Services 5.0
158229 INFO: Security Ramifications for IIS Applications

Propiedades

Id. de artículo: 308160 - Última revisión: martes, 29 de abril de 2003 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Palabras clave: 
kbhowto kbhowtomaster KB308160

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com