Ako nakonfigurova� overovanie Internet inform�cie slu�by Web v syst�me Windows 2000

Tento podrobn� �l�nok popisuje konfigur�ciu overovania pre Web-based �iadosti v Microsoft Internet Information Services (IIS) 5.0.

Ako funguje webov� overovania

Web autentifik�cia je komunik�cia medzi webov� preh�ad�va� a webov� server, ktor� zah��a mal� po�et hlavi�iek Hyper Text Transfer Protocol (HTTP) a chybov� hl�senia.

Toku komunik�cie, je:

1. Webov� prehliada� pod�va �iados�, ako je napr�klad HTTP-GET.
2. Webov� server vykon� overenie kontrolu. Ak to nie je �spe�n�, preto�e po�aduje overenie, server po�le sp� chybov� hl�senie podobn� nasleduj�ceho:
   Nem�te opr�vnenie na zobrazenie tejto str�nky
   
   Nem�te povolenie zobrazi� tento prie�inok alebo str�nku pou�it�m poveren� zadan�.
   Inform�cie zahrnut� do tejto spr�vy, webov� prehliada� m��ete znovu �iados� ako overen� �iados�.
3. Webov� preh�ad�va� pou�ije odpove� servera na v�stavbu novej �iadosti, obsahuj�ci inform�cie o overenie.
4. Webov� server vykon� overenie kontrolu. Ak kontrola je �spe�n�, webov� server odo�le �daje, ktor� bolo p�vodne po�adovan�mu sp� do webov�ho preh�ad�va�a.

Overovacie met�dy

POZN�MKA: S niektor�mi z nasledovn�ch met�d overovania, mus�te pou�i� jednotky, ktor� ste naform�tovali pomocou syst�mu s�borov NTFS preto�e form�tovan� v syst�me NTFS disky zachova� najvy��� stupe� zabezpe�enia.

IIS podporuje p� nasleduj�cich sp�sobov overovania Web:

Anonymn� overenie

IIS vytvor� IUSR_n�zov_po��ta�a konto (ak n�zov_po��ta�a je n�zov po��ta�a) na overenie anonymn�ch pou��vate�ov, ak �iadaj� webov�ho obsahu. Toto konto d�va u��vate�ovi pr�vo na miestne prihl�senie. M��ete obnovi� anonymn� u��vate� pr�stup pou��va� ak�ko�vek platn� konto v syst�me Windows.

POZN�MKA: M��ete nastavi� r�zne anonymn� ��ty pre r�zne webov� str�nky, virtu�lne adres�re alebo fyzickej adres�rov a s�borov.

Ak je po��ta� so syst�mom Windows 2000 samostatn�ho servera, IUSR_n�zov_po��ta�a konto je na lok�lnom serveri. Ak je server radi�om dom�ny, IUSR_n�zov_po��ta�a konto je definovan� pre dom�nu.

Z�kladn� overovanie

Overovanie basic pou��va� na obmedzenie pr�stupu k s�borom na form�tovan� v syst�me NTFS webov� server. Z�kladn� overenie, mus� pou��vate� zada� poverenia a pr�stup je zalo�en� na identifik�ciu pou��vate�a.

Overovanie basic pou��va�, poskytn�� ka�d�mu pou��vate�ovi pr�vo prihl�si� sa lok�lne a zjednodu�i� administrat�vu, prida� ich do skupiny, ktor� m� pr�stup k potrebn� s�bory.

POZN�MKA: Preto�e pou��vate�sk� poverenia s� k�dovan� s k�dovan�m Base64, ale nie s� �ifrovan� ke� sa pren�aj� v sieti, z�kladn� overenie pova�uje neist� formu overenia.

Integrated Windows authentication

Integrovan� overovanie syst�mom Windows je bezpe�nej�� ne� z�kladn� overenie a funguje dobre v intranetov� prostredie kde u��vatelia maj� kont� dom�ny syst�mu Windows. V integrovan� overovanie syst�mom Windows prehliada� pok�si pou�i� aktu�lne pou��vate�sk� poverenia od prihl�senie do dom�ny a ak sa to nepodar�, je u��vate� vyzvan� na zadanie mena pou��vate�a a hesla. Ak pou��vate integrovan� overovanie syst�mu Windows, heslo pou��vate�a sa nepren�aj� na server. Ak pou��vate� m� prihl�sen� na lok�lnom po?�ta?i ako pou��vate�a dom�ny, pou��vate� nem� overi� znova, ke� pou��vate� otvor� sie�ovom po��ta�i v tejto dom�ne.

POZN�MKA: Nem��ete pou�i� integrovan� overovanie syst�mom Windows prostredn�ctvom servera proxy.

Funkcie Digest authentication

Funkcie Digest authentication zaober� mnoh�mi nedostatkami z�kladn� overenie. Heslo nebude odoslan? ne�ifrovan� text pri pou��van� funkcie digest authentication. Okrem toho m��ete pou�i� funkcie digest authentication prostredn�ctvom servera proxy. S�hrnn� overovanie pou��va mechanizmus v�zva/odpove�, (ktor� integrovan� Windows overovania pou�itia) Ak sa heslo odo�le v �ifrovanom form�te. Pou��vanie funkcie digest authentication:

• So syst�mom Windows 2000 server mus� by� v dom�ne.
• Mus�te nain�talova� IISSuba.dll s�bor na radi�i dom�ny. Tento s�bor sa skop�ruje automaticky po�as in�tal�cie syst�mu Windows 2000 Server.
• Mus�te nakonfigurova� v�etky pou��vate�sk� kont� s Uklada� hesl� pomocou vratn�ho �ifrovania zoh�adn� mo�nos� aktivovan�. Zapnutie tejto mo�nosti �vahy vy�aduje, aby heslo obnovi� alebo opustilo.

POZN�MKA: Budete musie� pou�i� program Microsoft Internet Explorer verzia 5.0 alebo vy��ia ako webov� preh�ad�va� pou��vate funkcie digest authentication.

Priradenie certifik�tu klienta

Priradenie certifik�tu klienta je met�da, kde sa vytvor� �mapovanie"medzi osved�enie a pou��vate�sk� konto. V tomto modeli pou��vate� predstavuje osved�enie a syst�m vyzer� na mapovanie na ur�enie, ktor� pou��vate�sk� konto by malo by� prihl�sen�. Certifik�t m��ete priradi� k pou��vate�sk� konto syst�mu Windows v jednom z dvoch sp�sobov:

• Pomocou slu�by Active Directory.
  
  -alebo-
• Pomocou pravidiel, ktor� s� definovan� v slu�be IIS.

�al�ie inform�cie o mapovan� klientsk�ch certifik�tov pou��vate�sk�m kont�m, vyh�ad�vanie pre klienta certifik�t mapovanie v dokument�cii IIS. Ak m�te IIS nain�talovan�, m��ete zobrazi� dokument�cii IIS zadan�m nasledovn� URL do panela s adresou vo webovom preh�ad�va�i kde localhost je n�zov lok�lneho hostite�a:�al�ie inform�cie o pou��van� certifik�tov n�jdete po kliknut� na nasledovn� ��slo �l�nku datab�zy Microsoft Knowledge Base:M��ete nakonfigurova� ka�d� met�du overovania na kontrolu pr�stupu na tieto polo�ky na serveri IIS:

• Webov� obsah, ktor� je hostite�om servera IIS.
• Jednotliv� webov� lokality, ktor� s� hos�ovan� na serveri IIS.
• Jednotliv� virtu�lne adres�re alebo fyzickej adres�roch, ktor� s� na webovej lokalite.
• Jednotliv� str�nky alebo s�bory, ktor� s� na webovej lokalite.

Konfigurovanie s��asti IIS webovej str�nky autentizaci

1. Pou�i� administrat�vny ��et na prihl�senie na po��ta� s Web server.
2. Kliknite na polo�ku �tart, uk�te na Programs, uk�te na Administrat�vne n�stroje, a potom kliknite na tla�idlo Spr�vca internetov�ch slu�ieb.
   
   Modul Internet Information Services sa spust�.
3. V strome konzoly kliknite na polo�ku * n�zov po��ta�a kde n�zov po��ta�a je n�zov po��ta�a.
4. Kliknite prav�m tla�idlom na jednu z nasleduj�cich polo�iek a potom kliknite na Vlastnosti:
   • Chcete nakonfigurova� overovanie pre v�etky webov� obsah, ktor� je hostite�om na servera IIS, kliknite prav�m tla�idlom my�i * n�zov po��ta�a.
   • Chcete nakonfigurova� overovanie jednotliv�ch webovej lokality, kliknite prav�m tla�idlom na webovej lokalite, ktor� chcete.
   • Chcete nakonfigurova� overovanie pre virtu�lny adres�r alebo fyzickej adres�r na webovej lokalite, kliknite na webov� lokalitu, ktor� chcete a kliknite prav�m tla�idlom adres�ra, ktor� chcete, ako napr�klad _vti_pvt.
   • Chcete konfigurova� overenie pre jednotliv� str�nku alebo s�bor na webovej lokalite, kliknite na webov� lokalitu, ktor� chcete, kliknite na prie�inok, ktor� obsahuje s�bor alebo str�nky, ktor� chcete a potom kliknite prav�m tla�idlom na s�bor alebo str�nky, ktor� chcete.
5. Na N�zov polo�ky Vlastnosti dial�gov� okno kde N�zov polo�ky je n�zov tovaru, ktor� ste vybrali, kliknite na tla�idlo Directory Security kartu.
   
   POZN�MKA: Ak vybratej polo�ky s�boru, kliknite na Zabezpe�enie s�borov kartu.
6. Pod�a Anonymn� pr�stup a overenie kontroly, kliknite na tla�idlo Upravi�.
7. Kliknut�m vyberte mo�nos� Anonymn� pr�stup pol��ko Zapn�� anonymn� pr�stup. Chcete vypn�� anonymn� pr�stup, kliknut�m zru�te za�iarknutie tohto pol��ka.
   
   POZN�MKA: Ak vypnete anonymn� pr�stup, budete musie� nakonfigurova� nejak� formu overen� pr�stup.
   1. Chcete zmeni� na ��et, ktor� sa pou��va pre anonymn� pr�stup k tomuto prostriedku, kliknite Upravi� ved�a Konto pou��van� pre anonymn� pr�stup.
   2. V Anonymn� pou��vate�sk� konto dial�gov� okno, kliknite na pou��vate�sk� konto, ktor� chcete pou�i� pre anonymn� pr�stup.
   3. Kliknut�m zru�te za�iarknutie pol��ka Nechajte IIS kontroly heslo Za�iarknite pol��ko, ak chcete pou�i� Windows LogonUser() API pre overenie pou��vate�a.
      
      POZN�MKA: Ot��an�m t�to heslo kontrolu mo�nos� vypn��, toto s�l IIS pou�i� be�n� overovanie a na miestne prihl�senie na konto. Mali ��m t�to mo�nos� vypnete, ak pou��vatelia sk�senosti �a�kostiach pr�stup k zdrojov ako s� napr�klad s�bory alebo datab�zy programu Microsoft Access na sie�ovom po��ta�i.
   4. Kliknite na polo�ku ok.
8. Pod�a Overen� pr�stup, kliknut�m vyberte mo�nos� Z�kladn� autentizaci (heslo je Odoslan? ne�ifrovan� text) pol��ko Zapn�� z�kladn� overenie. Ke� sa zobraz� nasledovn� hl�senie, kliknite na tla�idlo Yes:
   Mo�nos� overenia vybrat�m v�sledkov v hesl� sa pren�aj� v sieti bez �ifrovania �dajov. Niekto pok��a naru�i� bezpe�nos� syst�mu mohol pou�i� protokol analyz�tor presk�ma� pou��vate�sk�ch hesiel po�as procesu overovania. Viac podrobnost� o overenie pou��vate�a, n�jdete v Pomocn�kovi online. Toto upozornenie sa neuplat�uje na HTTPS (alebo SSL) pripojenia.
   
   Naozaj chcete pokra�ova�?
   1. Vybra� dom�nu, s ktorou na overenie pou��vate�ov, ktor� pou��vaj� z�kladn� overenie, kliknite Upravi� ved�a Vyberte predvolen� dom�ny.
   2. Zadajte dom�nu, do po�adovan� N�zov dom�ny a potom kliknite na ok.
      
      Pozn�mka: Ak pochybujete o bezpe�nosti na intranete, preto�e z�kladn� overenie pren�a pou��vate�sk� meno a heslo inform�cie ne�ifrovan� text, m��ete pou�i� z�kladn� overenie spolu s Secure Sockets Layer (SSL).
9. Kliknut�m vyberte mo�nos� Funkcie Digest authentication pre servery dom�ny Windows za�iarknutie pol��ka pou�i� funkcie digest authentication. Ke� sa zobraz� nasledovn� hl�senie, kliknite na tla�idlo Yes:
   Funkcie Digest authentication pracuje s iba kont� dom�ny syst�mu Windows 2000 a vy�aduje ��tov k ukladaniu hesl� ako oby�ajn� text s �ifrovan�.
   
   Naozaj chcete pokra�ova�?
   POZN�MKA: Mus�te nakonfigurova� pou��vate�sk� kont� s Uklada� hesl� pomocou vratn�ho �ifrovania �vahy mo�nos� zapnut�.
10. Kliknut�m vyberte mo�nos� Integrated Windows authentication za�iarknutie pol��ka pou�i� integrovan� overovanie syst�mom Windows.
    
    POZN�MKA: T�to met�da overenia bol predt�m zn�my ako Microsoft Windows NT Challenge/Response alebo NT LAN Manager (NTLM).
11. Kliknite na polo�ku ok, a potom v N�zov polo�ky Vlastnosti dial�gov� okno, kliknite na tla�idlo ok. Ak Dedi�nos� prep�e otvor� dial�gov� okno:
    1. Kliknite na polo�ku Vyberte v�etky Ak chcete pou�i� nov� nastavenie overovania na v�etky s�bory alebo prie�inky, ktor� s� v r�mci polo�ky, ktor� ste zmenili.
    2. Kliknite na polo�ku ok.
12. Ukon�ite Internetov� informa�n� slu�by.

�al�ie inform�cie zobraz�te kliknut�m na nasleduj�ce ��sla �l�nkov datab�zy Microsoft Knowledge Base: