Cómo configurar la autenticación de sitio Web de IIS en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 324274 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo configurar la autenticación de sitio Web de Servicios de Microsoft Internet Information Server (IIS) en Windows Server 2003. Puede configurar IIS para autenticar usuarios antes de que se les permita el acceso a un sitio Web, una carpeta en el sitio, o incluso un documento concreto que se encuentre en una carpeta en el sitio. La autenticación en IIS se puede usar para aumentar el nivel de seguridad de los sitios, carpetas y documentos que no son para que los vea el público en general.

La autenticación en IIS resulta fundamental cuando los recursos no están destinados al acceso anónimo o público, sino que al sitio Web deben tener acceso los usuarios autorizados a través de Internet. Entre los ejemplos de aplicaciones de sitios Web que requieren control de acceso mediante autenticación se incluyen Microsoft Outlook Web Access (OWA) y el cliente avanzado de los Servicios de Microsoft Terminal Server.


Cómo configurar la autenticación en IIS

  1. Inicie el Administrador de IIS o abra el complemento IIS.
  2. Expanda nombreDeServidor, donde nombreDeServidor es el nombre del servidor, y expanda Sitios Web.
  3. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el sitio Web, directorio virtual o archivo para el que desee configurar la autenticación y, a continuación, haga clic en Propiedades.
  4. Haga clic en las fichas Seguridad de directorios o Seguridad de archivos (según corresponda) y, a continuación, en Autenticación y control de acceso, haga clic en Modificar.
  5. Active la casilla de verificación situada junto a los métodos de autenticación que desee utilizar y, a continuación, haga clic en Aceptar.

    Los métodos de autenticación que están configurados de forma predeterminada son Acceso anónimo y Autenticación de Windows integrada:
    • Acceso anónimo: cuando se activa el acceso anónimo, no se requieren credenciales de usuario autenticado para tener acceso al sitio. El uso más adecuado de esta opción es para conceder acceso público a la información que no requiere seguridad. Cuando un usuario intenta conectarse al sitio Web, IIS asigna la conexión a la cuenta IUSER_ nombreDeEquipo, donde nombreDeEquipo es el nombre del servidor en el que se está ejecutando IIS. De forma predeterminada, la cuenta IUSER_ nombreDeEquipo es miembro del grupo Invitados. Este grupo tiene restricciones de seguridad, impuestas por los permisos del sistema de archivos NTFS, que indican el nivel de acceso y el tipo de contenido que está disponible para los usuarios públicos. Para modificar la cuenta de Windows que se utiliza para el acceso anónimo, haga clic en Examinar en el cuadro Acceso anónimo.

      IMPORTANTE: Si activa el acceso anónimo, IIS siempre intenta autenticar a los usuarios primero mediante la autenticación anónima, incluso si hay activados métodos de autenticación adicionales.
    • Autenticación de Windows integrada: anteriormente se denominaba NTLM o autenticación por desafío/respuesta de Windows NT. Este método envía la información de autenticación del usuario por la red en forma de vale de Kerberos y proporciona un alto nivel de seguridad. La autenticación de Windows integrada utiliza la versión 5 de Kerberos y la autenticación NTLM. Para emplear este método, los clientes deben utilizar Microsoft Internet Explorer 2.0 o posterior. Adicionalmente, la autenticación de Windows integrada no se admite sobre conexiones de proxy HTTP. El uso más adecuado de esta opción es para una intranet, donde el usuario y el servidor Web están en el mismo dominio, y los administradores pueden asegurarse de que todos los usuarios utilizan Internet Explorer 2.0 o posterior.

      NOTA: si se seleccionan varias opciones de autenticación, IIS intenta negociar el método más seguro en primer lugar y, a continuación, consulta la lista de protocolos de autenticación disponibles hasta encontrar un protocolo de autenticación mutua que admitan tanto el cliente como el servidor.
    • Autenticación de texto implícita para servidores de dominio de Windows: La autenticación de texto implícita requiere un Id. de usuario y una contraseña, proporciona un nivel medio de seguridad y se puede utilizar cuando se quiera conceder acceso a información segura desde redes públicas. Este método ofrece la misma funcionalidad que la autenticación básica. Sin embargo, este método transmite las credenciales del usuario a través de la red como un hash MD5, o síntesis de mensaje, en el que no se puede descifrar el nombre de usuario y la contraseña originales a partir del hash. Para utilizar este método, los clientes deben utilizar Microsoft Internet Explorer 5.0 o posterior, y los clientes y servidores Web deben ser miembros del mismo dominio o ser de confianza del mismo.

      Si activa la autenticación de texto implícita, escriba el nombre de territorio en el cuadro Territorio.
    • Autenticación básica (la contraseña se envía como texto no cifrado): la autenticación básica requiere un Id. de usuario y una contraseña, y proporciona un nivel bajo de seguridad. Las credenciales del usuario se envían en texto sin cifrar a través de la red. Este formato proporciona un nivel bajo de seguridad, porque casi todos los analizadores de protocolo pueden leer la contraseña. Sin embargo, es compatible con el número más amplio de clientes Web. El uso más adecuado de esta opción es para conceder acceso a información con poca o ninguna necesidad de privacidad.

      Si activa la autenticación básica, escriba el nombre de dominio que desea utilizar en el cuadro Dominio predeterminado. Opcionalmente, también puede escribir un valor en el cuadro Territorio.
    • Autenticación de Microsoft .NET Passport: la autenticación de .NET Passport ofrece seguridad de inicio de sesión único, lo que proporciona a los usuarios acceso a diversos servicios en Internet. Cuando selecciona esta opción, las solicitudes a IIS deben contener credenciales de .NET Passport válidas en la cadena de consulta o en una cookie. Si IIS no detecta las credenciales de .NET Passport, las solicitudes se redirigen a la página de inicio de sesión de .NET Passport.

      NOTA: cuando se selecciona esta opción, los demás métodos de autenticación no están disponibles (aparecen atenuados).
  6. Otro tipo de autenticación se basa en el host solicitante, en lugar de en las credenciales de usuario. Puede limitar el acceso según la dirección IP de origen, el Id. de red de origen o el nombre de dominio de origen. Para configurar este tipo de autenticación, siga estos pasos:
    1. En Restricciones de nombre de dominio y dirección IP, haga clic en Modificar.
    2. Siga uno de estos procedimientos:
      • Para denegar el acceso, haga clic en Concederá el acceso y, a continuación, en Agregar. En el cuadro de diálogo Denegar acceso a que aparece, especifique la opción que desee y, a continuación, haga clic en Aceptar.

        El equipo, el grupo de equipos o el dominio que especifique se agregará a la lista.

        O bien
      • Para conceder acceso, haga clic en Denegará el acceso y, a continuación, en Agregar. En el cuadro de diálogo Conceder acceso a que aparece, seleccione la opción que desee y, a continuación, haga clic en Aceptar.

        El equipo, el grupo de equipos o el dominio que seleccione se agregará a la lista.
    3. Haga clic en Aceptar.
  7. Haga clic en Aceptar y, a continuación, cierre el Administrador de IIS o el complemento IIS.

Solucionar problemas

  • Puede que se le pida aplicar los cambios realizados en los sitios existentes. Si desea aplicar los cambios de autenticación a otro contenido, haga clic en el contenido de la lista de nodos secundarios y, a continuación, haga clic en Aceptar. Si no desea aplicar los cambios a ninguno de los nodos secundarios, no seleccione ningún elemento en la lista y, a continuación, haga clic en Aceptar.
  • En IIS puede configurar las opciones de autenticación en el nivel de sitio Web, directorio o archivo. Los mismos principios que se tratan en este artículo se aplican a cada uno de ellos.

Propiedades

Id. de artículo: 324274 - Última revisión: martes, 4 de diciembre de 2007 - Versión: 6.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Servicios de Microsoft Internet Information Server 6.0
Palabras clave: 
kbhowto kbhowtomaster kbwebservices kbappservices KB324274

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com