Настройка проверки подлинности служб информации Интернет в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 308160 - Vizualiza?i produsele pentru care se aplic? acest articol.
Корпорация Майкрософт настоятельно рекомендует всем пользователям провести обновление до Microsoft Internet информации СЛУЖБ версии 7.0 на Microsoft Windows Server 2008. IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения по вопросам безопасности IIS посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/TechNet/Security/prodtech/IIS.mspx
Для получения дополнительных сведений о IIS 7.0 посетите следующий веб-узел корпорации Майкрософт:
http://www.iis.net/default.aspx?tabid=1
Внимание
В данной статье относится к Windows 2000. Поддержка Windows 2000 заканчивается на 13 июля 2010 г. В Центр решений-технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Для получения дополнительных сведений см. Политики поддержи продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается настройка проверки подлинности для веб-запросов в Microsoft Internet информации службы (IIS) версии 5.0.

Как работает веб-проверка подлинности

Веб-проверка подлинности — это связь между веб-обозревателем и веб-сервера, который включает небольшое число заголовков Hyper Text Transfer Protocol (HTTP) и сообщения об ошибках.

Обмен данными, — это:
  1. Веб-обозреватель выполняет запрос, таких как HTTP-GET.
  2. Веб-сервер выполняет проверку подлинности. Если это не удалось, так как требуется проверка подлинности, сервер возвращает сообщение об ошибке, подобное приведенному ниже:
    Вы не авторизованы для просмотра этой страницы

    У вас нет разрешения на просмотр данного каталога или страницы, используя указанные вами учетные данные.
    Информация включена в это сообщение, которое будет отправлять запрос как проверенный запрос можно использовать веб-обозреватель.
  3. Веб-обозреватель использует ответ сервера для создания нового запроса, который содержит сведения о проверке подлинности.
  4. Веб-сервер выполняет проверку подлинности. Если проверка успешна, веб-сервер отправляет данные, которые первоначально запрошенной веб-обозревателя.

Методы проверки подлинности

ПРИМЕЧАНИЕ: Некоторые из следующих методов проверки подлинности, необходимо использовать диски, был отформатирован с файловой системой NTFS, так как диски, отформатированные в NTFS поддерживать высокий уровень безопасности.

IIS поддерживает пять следующих методов проверки подлинности Web:

Анонимная проверка подлинности

Службы IIS создают IUSR_computerName учетная запись (где computerName — имя компьютера) для проверки подлинности анонимных пользователей при запросе содержимого веб-узла. Эта учетная запись предоставляет пользователю право на вход в систему. Можно сбросить анонимный доступ пользователя использовать любую допустимую учетную запись Windows.

ПРИМЕЧАНИЕ: Можно настроить различные анонимных учетных записей для различных веб-узлов, виртуальные каталоги или физические каталоги и файлы.

Если компьютер под управлением Windows 2000 является изолированным сервером, IUSR_computerName учетная запись находится на локальном сервере. Если сервер является контроллером домена, IUSR_computerName определена учетная запись домена.

Обычная проверка подлинности

Используйте обычную проверку подлинности для ограничения доступа к файлам в формате NTFS веб-сервере. С помощью обычной проверки подлинности пользователь должен ввести учетные данные и доступ основан на идентификатор пользователя.

Для использования обычной проверки подлинности, предоставьте им право на вход в систему и для упрощения администрирования, добавить их в группу, которая имеет доступ к необходимым файлам.

ПРИМЕЧАНИЕ: Так как учетные данные кодируются с помощью кодировки Base64, но они не шифруются при передаче по сети, обычная проверка подлинности считается небезопасным формы проверки подлинности.

Встроенная проверка подлинности Windows

Встроенная проверка подлинности Windows более надежны, чем обычная проверка подлинности и работает в среде интрасети, где пользователи имеют учетные записи домена Windows. Встроенная проверка подлинности Windows обозреватель пытается использовать учетные данные текущего пользователя от входа в домен и не выполняется, пользователю будет предложено ввести имя пользователя и пароль. Если используется встроенная проверка подлинности Windows, пароль пользователя не передается на сервер. Если пользователь выполнил вход на локальный компьютер как пользователь домена, пользователь имеет для проверки еще раз, когда пользователь обращается к сетевому компьютеру в домене.

ПРИМЕЧАНИЕ: Невозможно использовать встроенную проверку подлинности Windows через прокси-сервер.

Краткая проверка подлинности

Краткая проверка подлинности устраняет многие недостатки обычной проверки подлинности. При краткой проверке подлинности пароль не отправляется в незашифрованном виде. Кроме того можно использовать краткую проверку подлинности через прокси-сервер. Краткая проверка подлинности использует механизм запрос ответ (который встроенная использует проверку подлинности Windows) где пароль отправляется в зашифрованном виде. Для использования дайджест-проверки подлинности:
  • Сервер под управлением Windows 2000 должен быть в домене.
  • Необходимо установить файл IISSuba.dll на контроллере домена. Этот файл копируется автоматически во время установки Windows 2000 Server.
  • Необходимо настроить все учетные записи пользователей с Хранить пароль, используя обратимое шифрование включить параметр учетной записи. Включение этого параметра учетной записи требуется сбросить или заново ввести пароль.
ПРИМЕЧАНИЕ: Вы должны использовать Microsoft Internet Explorer версии 5.0 или более поздней версии в качестве веб-обозревателя при использовании краткой проверки подлинности.

Сопоставление сертификатов клиентов

Сопоставление сертификатов клиентов — это метод, в которой создан «сопоставление» от сертификата и учетной записи пользователя. В этой модели пользователь предоставляет сертификат и система рассматривает определяет, какую учетную запись следует войти в систему. Чтобы сопоставить сертификат учетной записи пользователя Windows одним из двух способов:
  • С помощью Active Directory.

    -ИЛИ-
  • С помощью правила, определенные в IIS.
Для получения дополнительных сведений о том, как сопоставления сертификатов учетным записям пользователей поиск сопоставления сертификата клиента в документации IIS. Если службы IIS установлены, для просмотра документации IIS, введя следующий URL-адрес в адресную строку веб-обозревателя где localhost — имя локального узла:
http://localhost/iisHelp/IIS/misc/Default.ASP
Для получения дополнительных сведений об использовании сертификатов щелкните следующий номер статьи базы знаний Майкрософт:
290625Настройка SSL в тестовой среде IIS 5 для Windows 2000 с помощью сертификата сервера 2.0
Каждый метод проверки подлинности для управления доступом для следующих элементов на сервере IIS можно настроить:
  • Все веб-содержимого, размещенного на сервере IIS.
  • Отдельные веб-узлы, размещенные на сервере IIS.
  • Отдельных виртуальных каталогов или физические каталоги, которые находятся на веб-узле.
  • Отдельные страницы или файлы, находящиеся в веб-узел.

Настройка проверки подлинности IIS Web сайта

  1. Используйте учетную запись администратора, войти в систему на компьютере веб-сервера.
  2. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Администрирование, а затем нажмите кнопку Диспетчер служб Интернета.

    Оснастка служб IIS запускается.
  3. В дереве консоли разверните узел * Имя компьютера В данной команде Имя компьютера Это имя компьютера.
  4. Щелкните правой кнопкой мыши один из следующих элементов и нажмите кнопку Свойства:
    • Чтобы настроить проверку подлинности для всех веб-содержимого, размещенного на сервере IIS, щелкните правой кнопкой мыши * Имя компьютера.
    • Настройка проверки подлинности для отдельных веб-узла, щелкните правой кнопкой мыши веб-узел.
    • Настройка проверки подлинности для виртуального или физического каталога веб-узла, нажмите кнопку веб-узел и щелкните правой кнопкой мыши каталог, который требуется, например _vti_pvt.
    • Настройка проверки подлинности для отдельной страницы или файла в веб-узел, щелкните веб-узел, необходимо, щелкните папку, содержащую нужную страницу или файл и щелкните правой кнопкой мыши нужную страницу или файл.
  5. На Имя элемента Свойства диалоговое окно где Имя элемента Имя элемента, который был выбран, нажмите кнопку Безопасность каталога Вкладка.

    ПРИМЕЧАНИЕ: Если выбранный элемент отдельного файла, нажмите кнопку Защита файлов Вкладка.
  6. В группе Анонимный доступ и управление проверкой подлинности, нажмите кнопку Редактирование.
  7. Выберите Анонимный доступ флажок, чтобы включить анонимный доступ. Чтобы отключить анонимный доступ, щелкните, чтобы снять этот флажок.

    ПРИМЕЧАНИЕ: Если отключен анонимный доступ, необходимо настроить некоторые формы доступа с проверкой подлинности.
    1. Чтобы изменить учетную запись, используемую для анонимного доступа к этому ресурсу, нажмите кнопку Редактирование рядом с Учетная запись для анонимного доступа.
    2. В Учетная запись анонимного пользователя диалоговое окно, выберите учетную запись пользователя, которую требуется использовать для анонимного доступа.
    3. Снимите флажок Разрешить управление паролем IIS Установите флажок, если требуется использовать для проверки подлинности Windows LogonUser() API.

      ПРИМЕЧАНИЕ:, Включив эту возможность управления пароль, это заставляет IIS на использование обычной проверки подлинности и локального входа в учетную запись. Вы должны отключить этот параметр пользователей возникают сложности доступа к ресурсам, таким как файлы или базы данных Microsoft Access на сетевом компьютере.
    4. Нажмите кнопку ОК.
  8. В группе Доступ с проверкой подлинности, выберите Обычная проверка подлинности (пароль отправляется в текстовом формате) флажок, чтобы включить обычную проверку подлинности. При получении следующего сообщения нажмите кнопку Да:
    Параметр проверки подлинности, выбранный в допускает передачу паролей по сети без шифрования. Кто-то попытка нарушения безопасности системы использовать анализатор протоколов проверки паролей пользователей в процессе проверки подлинности. Дополнительные сведения по проверке подлинности содержатся в справке. Это предупреждение относится к HTTPS (SSL) подключениям.

    Вы действительно хотите продолжить?
    1. Чтобы выбрать домен, используемый для проверки подлинности пользователей, которые при использовании обычной проверки подлинности, нажмите кнопку Редактирование рядом с Выберите домен по умолчанию.
    2. Введите имя домена, в Имя домена поле, а затем нажмите кнопку ОК.

      Примечание Если вы беспокоитесь о безопасности в сети интранет, так как базовая проверка подлинности передает информацию пользователя имя и пароль открытым текстом, можно использовать обычную проверку подлинности вместе с помощью протокола SSL (Secure Sockets Layer).
  9. Выберите Краткая проверка для серверов доменов Windows флажок для использования дайджест-проверки подлинности. При получении следующего сообщения нажмите кнопку Да:
    Дайджест-проверка подлинности работает с Windows 2000 доменов только для учетных записей и требует учетных записей для хранения паролей в виде зашифрованных открытым текстом.

    Вы действительно хотите продолжить?
    ПРИМЕЧАНИЕ: Необходимо настроить учетные записи пользователей с Хранить пароль, используя обратимое шифрование параметр учетная запись включена.
  10. Выберите Встроенная проверка подлинности Windows флажок для использования встроенной проверки подлинности Windows.

    ПРИМЕЧАНИЕ: Этот метод проверки подлинности ранее называлась Microsoft Windows NT Challenge/Response или NT LAN Manager (NTLM).
  11. Нажмите кнопку ОК, а затем в Имя элемента Свойства диалоговое окно, нажмите кнопку ОК. Если Изменение наследования Откроется диалоговое окно:
    1. Нажмите кнопку Выбрать все Чтобы применить новые параметры проверки подлинности для всех файлов или папок, находящихся внутри элемента, который был изменен.
    2. Нажмите кнопку ОК.
  12. Завершите работу службы IIS.

Ссылки

Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
297954Устранение неполадок веб-сервера в Windows 2000
299970 Использование разрешений NTFS для защиты веб-страницы, работающих под управлением IIS 4.0 или 5
216705 Инструкции по заданию разрешений на веб-узел FrontPage на сервере IIS
222028 Настройка дайджест-проверки подлинности для использования со службами IIS 5.0

Свойства

Код статьи: 308160 - Последний отзыв: 6 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Ключевые слова: 
kbhowtomaster kbmt KB308160 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:308160

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com