Como configurar a autenticação Web do IIS no Windows 2000

Este artigo passo a passo descreve como configurar a autenticação de pedidos baseados na Web no Microsoft IIS (Serviços de informação Internet - Internet Information Services) 5.0.

Como funciona a autenticação Web

A autenticação Web é uma comunicação entre o browser e o servidor da Web que envolve um pequeno número de cabeçalhos e mensagens de erro do protocolo HTTP (HyperText Transfer Protocol).

O fluxo de comunicação é o seguinte:

1. O browser efectua um pedido como, por exemplo, HTTP-GET.
2. O servidor da Web efectua uma verificação de autenticação. Se esta não tiver êxito por ser necessária a autenticação, o servidor enviará uma mensagem de erro semelhante à seguinte:
   Não tem autorização para ver esta página
   
   Não tem permissões para ver este directório ou página utilizando as credenciais que forneceu.
   Nesta mensagem, são incluídas informações que o browser pode utilizar para submeter novamente o pedido como um pedido autenticado.
3. O browser utiliza a resposta do servidor para criar um novo pedido com informações de autenticação.
4. O servidor da Web efectua uma verificação de autenticação. Se a verificação tiver êxito, o servidor da Web enviará os dados, que foram inicialmente pedidos, para o browser.

Métodos de autenticação

NOTA: com alguns dos métodos de autenticação que se seguem, é necessário utilizar unidades que tenha formatado com o sistema de ficheiros NTFS, uma vez que as unidades formatadas com NTFS mantêm o mais alto nível de segurança.

O IIS suporta os seguintes cinco métodos de autenticação Web:

Autenticação anónima

O IIS cria a conta IUSR_nome_computador (em que nome_computador é o nome do computador) para autenticar utilizadores anónimos quando estes solicitam conteúdo da Web. Esta conta concede ao utilizador o direito de iniciar sessão localmente. Pode repor o acesso anónimo de utilizador para utilizar uma conta válida do Windows.

NOTA: pode configurar diferentes contas anónimas para diferentes Web sites, directórios virtuais ou directórios físicos e ficheiros.

Se o computador baseado no Windows 2000 for um servidor autónomo, a conta IUSR_nome_computador encontra-se no servidor local. Se o servidor for um controlador de domínio, a conta IUSR_nome_computador é definida para o domínio.

Autenticação base

Utilize a autenticação base para restringir o acesso a ficheiros existentes num servidor da Web formatado com NTFS. Com a autenticação base, o utilizador tem de introduzir credenciais e o acesso baseia-se no ID de utilizador.

Para utilizar a autenticação base, conceda a cada utilizador o direito de iniciar sessão localmente e, para facilitar a administração, adicione os utilizadores a um grupo que tenha acesso aos ficheiros necessários.

NOTA: como as credenciais de utilizador são codificadas com a codificação Base64, mas não são encriptadas quando transmitidas através da rede, a autenticação base é considerada uma forma de autenticação não segura.

Autenticação integrada do Windows

A autenticação integrada do Windows é mais segura do que a autenticação base e funciona bem num ambiente de Intranet, em que os utilizadores têm contas de domínio do Windows. Na autenticação integrada do Windows, o browser tenta utilizar as credenciais actuais do utilizador a partir de um início de sessão no domínio e, se não conseguir, é pedido ao utilizador que introduza um nome de utilizador e palavra-passe. Se utilizar a autenticação integrada do Windows, a palavra-passe do utilizador não será transmitida ao servidor. Se o utilizador tiver iniciado sessão no computador local como um utilizador de domínio, não terá de voltar a efectuar a autenticação quando aceder a um computador de rede nesse domínio.

NOTA: não pode utilizar a autenticação integrada do Windows através de um servidor proxy.

Autenticação de texto implícita

A autenticação de texto implícita resolve muitas das fragilidades da autenticação base. A palavra-passe não é enviada em texto simples quando utiliza a autenticação de texto implícita. Além disso, é possível utilizar a autenticação de texto implícita através de um servidor proxy. A autenticação de texto implícita utiliza um mecanismo de desafio/resposta (utilizado pela autenticação integrada do Windows), em que a palavra-passe é enviada em formato encriptado. Para utilizar a autenticação de texto implícita:

• O servidor baseado no Windows 2000 tem de estar num domínio.
• Tem de instalar o ficheiro IISSuba.dll no controlador de domínio. Este ficheiro é copiado automaticamente durante a configuração do Windows 2000 Server.
• Tem de configurar todas as contas de utilizador com a opção de conta Guardar a palavra-passe utilizando encriptação reversível activada. A activação desta opção de conta requer a reposição ou reintrodução da palavra-passe.

NOTA: tem de utilizar o Microsoft Internet Explorer 5.0 ou posterior como browser, se estiver a utilizar a autenticação de texto implícita.

Mapeamento de certificados de cliente

O mapeamento de certificados de cliente é um método no qual é criado um "mapeamento" entre um certificado e uma conta de utilizador. Neste modelo, um utilizador apresenta um certificado e o sistema consulta o mapeamento para determinar a conta de utilizador cuja sessão deve ser iniciada. Pode mapear um certificado para uma conta de utilizador do Windows de uma de duas formas:

• Utilizando o Active Directory.
  
  - ou -
• Utilizando regras que estão definidas no IIS.

Para obter informações adicionais sobre como mapear certificados de cliente para contas de utilizador, procure o tópico sobre mapeamento de certificado de cliente na documentação do IIS. Se tiver o IIS instalado, poderá ver a documentação do IIS escrevendo o seguinte URL na barra Endereço do browser, em que localhost é o nome do anfitrião local: Para obter mais informações sobre como utilizar certificados, clique no número do artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Pode configurar cada um dos métodos de autenticação para controlar o acesso aos seguintes itens do servidor do IIS:

• Todo o conteúdo Web que esteja hospedado no servidor do IIS.
• Web sites individuais que estejam hospedados no servidor do IIS.
• Directórios virtuais ou directórios físicos individuais existentes num Web site.
• Páginas ou ficheiros individuais existentes num Web site.

Como configurar a autenticação de Web sites do IIS

1. Utilize uma conta administrativa para iniciar sessão no servidor da Web.
2. Clique Iniciar, aponte para Programas, aponte para Ferramentas administrativas e clique em Gestor de serviços para a Internet.
   
   É iniciado o snap-in Serviços de informação Internet (IIS).
3. Na árvore da consola, clique em * nome_computador, em que nome_computador é o nome do computador.
4. Clique com o botão direito do rato num dos seguintes itens e clique em Propriedades:
   • Para configurar a autenticação para todo o conteúdo Web que esteja hospedado no servidor do IIS, clique com o botão direito do rato em * nome_computador.
   • Para configurar a autentificação para um Web site individual, clique com o botão direito do rato no Web site que pretende.
   • Para configurar a autenticação para um directório virtual ou directório físico de um Web site, clique no Web site que pretendido e clique com o botão direito do rato no directório que pretende como, por exemplo, _vti_pvt.
   • Para configurar a autenticação para uma página ou um ficheiro individual de um Web site, clique no Web site que pretendido, clique na pasta que contém o ficheiro ou a página que pretende e clique com o botão direito do rato no ficheiro ou página.
5. Na caixa de diálogo Propriedades de nome_item, em que nome_item é o nome do item que seleccionou, clique no separador Segurança de directórios.
   
   NOTA: se o item seleccionado for um ficheiro individual, clique no separador Segurança de ficheiros.
6. Em Controlo de acesso anónimo e autenticação, clique em Editar.
7. Clique para seleccionar a caixa de verificação Acesso anónimo para activar o acesso anónimo. Para desactivar o acesso anónimo, clique para desmarcar esta caixa de verificação.
   
   NOTA: se desactivar o acesso anónimo, terá de configurar um tipo de acesso autenticado.
   1. Para alterar a conta utilizada para acesso anónimo a este recurso, clique em Editar junto a Conta utilizada para acesso anónimo.
   2. Na caixa de diálogo Conta de utilizador anónimo, clique na conta de utilizador que pretende utilizar para o acesso anónimo.
   3. Clique para desmarcar a caixa de verificação Permitir controlo de palavra-passe pelo IIS, se pretender utilizar a API LogonUser() do Windows para autenticação de utilizador.
      
      NOTA: ao desactivar esta opção de controlo de palavra-passe, forçará o IIS a utilizar a autenticação normal e a iniciar a sessão da conta localmente. Deverá desactivar esta opção se os utilizadores tiverem dificuldades no acesso a recursos, como ficheiros ou bases de dados do Microsoft Access, num computador de rede.
   4. Clique em OK.
8. Em Acesso autenticado, clique para seleccionar a caixa de verificação Autenticação base (a palavra-passe é enviada em texto simples) para activar a autenticação base. Quando receber a seguinte mensagem, clique em Sim:
   A opção seleccionada resulta na transmissão de palavras-passe através da rede sem encriptação dos dados. Quem tentar comprometer a segurança do sistema pode usar um analisador de protocolos para examinar as palavras-passe de utilizador durante o processo de autenticação. Para mais detalhes sobre autenticação de utilizadores, consulte a ajuda online. Este aviso não é aplicável a ligações de HTTPS (ou SSL).
   
   Tem a certeza de que deseja continuar?
   1. Para seleccionar um domínio para autenticação de utilizadores que estejam a utilizar a autenticação base, clique em Editar junto a Seleccione um domínio predefinido.
   2. Escreva o domínio que pretende na caixa Nome do domínio e clique em OK.
      
      Nota: se estiver preocupado com a segurança da intranet devido ao facto de a autenticação base transmitir informações sobre o nome de utilizador e a palavra-passe em texto simples, poderá utilizar a autenticação base em conjunto com a camada segura de sockets (SSL, Secure Sockets Layer).
9. Clique para seleccionar a caixa de verificação Autenticação de texto implícita para servidores de domínio do Windows para utilizar a autenticação de texto implícita. Quando receber a seguinte mensagem, clique em Sim:
   A autenticação de texto implícita trabalha apenas com contas de domínio do Windows 2000 e requer que as contas guardem as palavras-passe como texto simples encriptado.
   
   Tem a certeza de que pretende continuar?
   NOTA: tem de configurar as contas de utilizador com a opção de conta Guardar a palavra-passe utilizando encriptação reversível activada.
10. Clique para seleccionar a caixa de verificação Autenticação integrada do Windows para utilizar a autenticação integrada do Windows.
    
    NOTA: este método de autenticação era inicialmente conhecido por Microsoft Windows NT Challenge/Response ou NT LAN Manager (NTLM).
11. Clique em OK e, na caixa de diálogo Propriedades de nome_item, clique em OK. Se a caixa de verificação Heranças a ignorar for aberta:
    1. Clique em Seleccionar tudo para aplicar as novas definições de autenticação a todos os ficheiros ou pastas que se encontram no item que alterou.
    2. Clique em OK.
12. Saia do IIS.

Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):