Webverificatie voor Internet Information Services configureren in Windows 2000

In dit artikel worden de stappen beschreven die nodig zijn om verificatie van webverzoeken te configureren in Microsoft Internet Information Services (IIS) 5.0.

De werking van webverificatie

Webverificatie is een communicatiemethode tussen de webbrowser en de webserver waarbij een klein aantal HTTP-kopteksten (Hyper Text Transfer Protocol) en foutberichten betrokken zijn.

De communicatiestroom verloopt als volgt:

1. De webbrowser doet een verzoek, bijvoorbeeld HTTP-GET.
2. De webserver voert een verificatiecontrole uit. Als deze controle niet slaagt omdat verificatie vereist is, retourneert de server een foutbericht van de volgende strekking:
   U bent niet gemachtigd om deze pagina weer te geven
   
   U bent mogelijk niet gemachtigd deze map of pagina te bekijken met de verstrekte referenties.
   Dit bericht bevat verder informatie die de webbrowser kan gebruiken om het verzoek opnieuw in te dienen als een geverifieerd verzoek.
3. De webbrowser gebruikt de respons van de server om een nieuw verzoek op te stellen waarin verificatiegegevens zijn opgenomen.
4. De webserver voert een verificatiecontrole uit. Als deze controle succesvol is, zendt de webserver de gegevens die oorspronkelijk werden opgevraagd, terug naar de webbrowser.

Verificatiemethoden

Opmerking Voor een aantal van de volgende verificatiemethoden zijn stations nodig die zijn geformatteerd met het NTFS-bestandssysteem. Met NTFS geformatteerde stations bieden namelijk het hoogst mogelijke beveiligingsniveau.

IIS ondersteunt de volgende vijf methoden voor webverificatie:

Anonieme verificatie

IIS maakt de account IUSR_computernaam (waarbij computernaam staat voor de naam van de computer) om anonieme gebruikers te verifiëren wanneer zij webinhoud proberen op te halen. Deze account geeft de gebruiker het recht om zich lokaal aan te melden. U kunt anonieme gebruikerstoegang opnieuw instellen op het gebruik van elke geldige Windows-account.

Opmerking U kunt verschillende anonieme accounts instellen voor verschillende websites, virtuele of fysieke mappen en bestanden.

Als de computer met Windows 2000 een zelfstandige server is, bevindt de account IUSR_computernaam zich op de lokale server. Als de server een domeincontroller is, wordt de account IUSR_computernaam gedefinieerd voor het domein.

Basisverificatie

Gebruik basisverificatie om de toegang te beperken tot bestanden op een met NTFS geformatteerde webserver. Met basisverificatie moet de gebruiker referenties invoeren en is de toegang gebaseerd op de gebruikers-id.

Als u basisverificatie wilt gebruiken, moet u elke gebruiker het recht op lokale aanmelding verlenen. Verder moeten de gebruikers worden toegevoegd aan een groep met toegang tot de benodigde bestanden, zodat het beheer eenvoudiger wordt.

Opmerking Aangezien gebruikersreferenties zijn gecodeerd met Base64-codering maar niet zijn gecodeerd wanneer ze via het netwerk worden verzonden, wordt basisverificatie beschouwd als een onveilige vorm van verificatie.

Geïntegreerde Windows-verificatie

Geïntegreerde Windows-verificatie is veiliger dan basisverificatie en werkt goed in een Intranet-omgeving, waar gebruikers over Windows-domeinaccounts beschikken. Bij geïntegreerde Windows-verificatie probeert de browser de referenties te gebruiken die de huidige gebruiker invoert tijdens de aanmelding bij een domein. Als dit niet lukt, wordt de gebruiker gevraagd een gebruikersnaam en wachtwoord in te voeren. Als u geïntegreerde Windows-verificatie gebruikt, wordt het wachtwoord van de gebruiker niet doorgegeven aan de server. Als een gebruiker zich bij de lokale computer heeft aangemeld als domeingebruiker, hoeft deze zich niet opnieuw te identificeren als hij/zij toegang zoekt tot een netwerkcomputer in het betreffende domein.

Opmerking U kunt geen geïntegreerde Windows-verificatie gebruiken via een proxyserver.

Verificatiesamenvatting

De methode Verificatiesamenvatting biedt een oplossing voor een aantal van de zwakke punten van basisverificatie. Wanneer verificatiesamenvatting als methode wordt gebruikt, wordt het wachtwoord niet als gewone tekst verzonden. Verder kunt u verificatiesamenvatting gebruiken via een proxyserver. Bij verificatiesamenvatting wordt een vraag/antwoord-mechanisme gebruikt (zoals bij geïntegreerde Windows-verificatie) waarbij het wachtwoord gecodeerd wordt verzonden. Voor het gebruik van verificatiesamenvatting gelden de volgende voorwaarden:

• De Windows 2000-server moet zich in een domein bevinden.
• U moet het bestand IISSuba.dll installeren op de domeincontroller. Dit bestand wordt automatisch gekopieerd tijdens de installatie van Windows 2000 Server.
• U moet voor alle gebruikersaccounts de optie Wachtwoord opslaan met omkeerbare codering inschakelen. Als deze optie is ingeschakeld, moet het wachtwoord opnieuw worden ingesteld of opnieuw worden ingevoerd.

Opmerking Microsoft Internet Explorer 5.0 of hoger moet zijn geïnstalleerd als webbrowser om verificatiesamenvatting te kunnen gebruiken.

Clientcertificaattoewijzing

Clientcertificaattoewijzing is een methode waarbij een toewijzing wordt ingesteld tussen een certificaat en een gebruikersaccount. In dit model presenteert een gebruiker een certificaat en controleert het systeem de toewijzing om vast te stellen welke gebruikersaccount moet worden aangemeld. U kunt op twee manieren een certificaat toewijzen aan een Windows-gebruikersaccount:

• Met behulp van Active Directory.
  
  -of-
• Met behulp van routines die zijn gedefinieerd in IIS.

Voor meer informatie over het toewijzen van clientcertificaten aan gebruikersaccounts kunt u zoeken naar Clientcertificaattoewijzing in de IIS-documentatie. Als u IIS hebt geïnstalleerd, kunt u de IIS-documentatie weergeven door de volgende URL te typen in de adresbalk van de webbrowser, waarbij lokalehost staat voor de naam van de lokale host: Klik voor meer informatie over het gebruik van certificaten op het volgende artikelnummer in de Microsoft Knowledge Base: U kunt de verificatiemethoden configureren om toegang tot de volgende items op de IIS-server te beheren:

• Alle webinhoud die op de IIS-server is geplaatst.
• Afzonderlijke websites die op de IIS-server zijn geplaatst.
• Afzonderlijke virtuele mappen of fysieke mappen op een website.
• Afzonderlijke pagina's of bestanden op een website.

Websiteverificatie voor IIS configureren

1. Gebruik een Administrator-account om u aan te melden bij de webserver.
2. Klik op Start, wijs achtereenvolgens Programma's en Systeembeheer aan en klik op Internet-servicebeheer.
   
   De module Internet Information Services wordt gestart.
3. Klik in de consolestructuur op * computernaam, waarbij computernaam staat voor de naam van de computer.
4. Klik met de rechtermuisknop op een van de volgende items en klik op Eigenschappen.
   • Als u verificatie wilt configureren voor alle webinhoud die op de IIS-server is geplaatst, klikt u met de rechtermuisknop op * computernaam.
   • Als u verificatie voor een afzonderlijke website wilt configureren, klikt u met de rechtermuisknop op de gewenste website.
   • Als u verificatie wilt configureren voor een virtuele of fysieke map op een website, selecteert u de gewenste website en klikt u met de rechtermuisknop op de map waarvoor u verificatie wilt configureren, bijvoorbeeld _vti_pvt.
   • Als u verificatie wilt configureren voor een afzonderlijke pagina of afzonderlijk bestand op een website, klikt u op de gewenste website en opent u de map die het bestand of de pagina bevat. Klik vervolgens met de rechtermuisknop op het gewenste bestand of de gewenste pagina.
5. Open het tabblad Mapbeveiliging van het dialoogvenster Eigenschappen voor itemnaam, waarbij itemnaam staat voor de naam van het geselecteerde item.
   
   Opmerking Als het geselecteerde item een afzonderlijk bestand is, klikt u op het tabblad Bestandsbeveiliging.
6. Klik onder Anonieme toegang en verificatiemethoden op Bewerken.
7. Schakel het selectievakje Anonieme toegang in om anonieme toegang in te schakelen. Schakel het selectievakje uit als u anonieme toegang niet wilt toestaan.
   
   Opmerking Als u anonieme toegang uitschakelt, moet u een andere vorm van geverifieerde toegang configureren.
   1. Als u de account wilt wijzigen die wordt gebruikt voor anonieme toegang tot deze bron, klikt u op Bewerken naast Account voor anonieme toegang.
   2. Klik in het dialoogvenster Anonieme gebruikersaccount op de gebruikersaccount die u wilt gebruiken voor anonieme toegang.
   3. Schakel het selectievakje Wachtwoordbeheer door IIS toestaan uit als u de Windows LogonUser()-API wilt gebruiken voor gebruikersverificatie.
      
      Opmerking Door de optie voor wachtwoordbeheer uit te schakelen, wordt IIS gedwongen om normale verificatie te gebruiken en om de account lokaal aan te melden. Schakel deze optie uit als gebruikers moeilijkheden ondervinden bij de toegang tot bronnen zoals bestanden of Microsoft Access-databases op een netwerkcomputer.
   4. Klik op OK.
8. Schakel bij Geverifieerde toegang het selectievakje Basisverificatie (wachtwoord wordt verzonden als gewone tekst) in om basisverificatie in te schakelen. Klik op Ja wanneer het volgende bericht verschijnt:
   De geselecteerde verificatieoptie heeft tot gevolg dat wachtwoorden ongecodeerd over het netwerk worden verzonden. Onbevoegden kunnen de systeembeveiliging omzeilen via een programma voor protocolanalyse om gebruikerswachtwoorden te lezen tijdens het verificatieproces. Zie de online Help voor meer informatie over gebruikersverificatie. Deze waarschuwing is niet van toepassing op HTTPS- (of SSL)-verbindingen.
   
   Weet u zeker dat u door wilt gaan?
   1. Als u een domein wilt selecteren waarmee gebruikers die werken met basisverificatie, moeten worden geverifieerd, klikt u op Bewerken naast Selecteer een standaarddomein.
   2. Geef een naam voor het domein op in het vak Domeinnaam en klik op OK.
      
      Opmerking Als u zich zorgen maakt over beveiliging van het intranet omdat bij basisverificatie gegevens over gebruikersnamen en wachtwoorden als gewone tekst worden verzonden, kunt u basisverificatie gebruiken in combinatie met SSL (Secure Sockets Layer).
9. Schakel het selectievakje Verificatiesamenvatting voor Windows-domeinservers in om verificatiesamenvatting te gebruiken. Klik op Ja wanneer het volgende bericht verschijnt:
   Samenvattingsverificatie werkt alleen onder domeinaccounts van Windows 2000. De accounts moeten wachtwoorden opslaan als gecodeerde normale tekst.
   
   Wilt u toch doorgaan?
   Opmerking U moet voor alle gebruikersaccounts de optie Wachtwoord opslaan met omkeerbare codering inschakelen.
10. Schakel het selectievakje Geïntegreerde Windows-verificatie in om geïntegreerde Windows-verificatie te gebruiken.
    
    Opmerking Deze verificatiemethode was voorheen bekend als Vraag/Antwoord van Windows NT of NTLM (NT LAN Manager).
11. Klik op OK en klik in het dialoogvenster Eigenschappen voor itemnaam nogmaals op OK. Als het dialoogvenster Gewijzigde standaardwaarden wordt geopend, gaat u als volgt te werk:
    1. Klik op Alles selecteren om de nieuwe verificatie-instellingen toe te passen op alle bestanden of mappen binnen het item dat u hebt gewijzigd.
    2. Klik op OK.
12. Sluit Internet Information Services.

Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base: