Configurazione dell'autenticazione dei siti Web di IIS in Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 324274 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene spiegato come configurare l'autenticazione di siti Web di Microsoft Internet Information Services (IIS) in Windows Server 2003. È possibile configurare IIS perché esegua l'autenticazione degli utenti prima che a questi venga concesso di accedere a un sito Web, a una cartella del sito o addirittura a un particolare documento contenuto in una cartella del sito. È possibile utilizzare l'autenticazione di IIS per aumentare il livello di protezione di siti, cartelle e documenti non destinati al pubblico.

L'autenticazione in IIS è fondamentale quando le risorse non sono destinate all'accesso anonimo o pubblico ma il server Web deve essere disponibile in Internet agli utenti autorizzati. Esempi di applicazioni di siti Web che richiedono il controllo degli accessi tramite autenticazione comprendono Microsoft Outlook Web Access (OWA) e Microsoft Terminal Services Advanced Client.


Configurazione dell'autenticazione in IIS

  1. Avviare Gestione IIS o aprire lo snap-in IIS.
  2. Espandere Nome_server, dove Nome_server è il nome del server, quindi espandere Siti Web.
  3. Nella struttura della console fare clic con il pulsante destro del mouse sul sito Web, la directory virtuale o il file per i quali si desidera configurare l'autenticazione, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Protezione directory o sulla scheda Protezione file, come appropriato, quindi in Controllo autenticazione e accesso fare clic su Modifica.
  5. Selezionare la casella di controllo accanto al metodo o ai metodi di autenticazione che si desidera utilizzare e scegliere OK.

    I metodi di autenticazione predefiniti impostati sono Accesso anonimo e Autenticazione integrata di Windows:
    • Accesso anonimo: quanto è attivato l'accesso anonimo, non sono necessarie credenziali utente autenticate per accedere al sito. Questa opzione è indicata nei casi in cui si desidera consentire l'accesso pubblico a informazioni che non richiedono protezione. Quando un utente tenta di connettersi al sito Web, IIS assegna la connessione all'account IUTENTE_NomeComputer , dove NomeComputer è il nome del server che esegue IIS. In base all?impostazione predefinita, l'account IUTENTE_NomeComputer fa parte del gruppo Guest. Per questo gruppo vigono dei limiti di protezione, imposti dalle autorizzazioni del file system NTFS, che indicano il livello di accesso e il tipo di contenuto di cui possono usufruire gli utenti pubblici. Per modificare l'account di Windows utilizzato per l'accesso anonimo, scegliere Sfoglia nella casella Accesso anonimo.

      IMPORTANTE: se si attiva l'accesso anonimo, in IIS gli utenti verranno autenticati utilizzando sempre come prima opzione l'autenticazione anonima, anche se sono stati attivati altri metodi di autenticazione.
    • Autenticazione Windows integrata: questo metodo, precedentemente noto con il nome di NTLM o di autenticazione Windows NT Challenge/Response, invia in rete le informazioni di autenticazione degli utenti sotto forma di ticket Kerberos e garantisce un elevato livello di protezione. L'autenticazione integrata di Windows utilizza Kerberos versione 5 e l'autenticazione NTLM. Per utilizzare questo metodo i client devono eseguire Microsoft Internet Explorer versione 2.0 o successive. L'autenticazione integrata di Windows, inoltre, non è supportata nelle connessioni HTTP proxy. Questa opzione è indicata per le reti Intranet, in cui tanto i computer degli utenti quanto il server Web si trovano nello stesso dominio e gli amministratori possono verificare se ogni utente utilizza Internet Explorer 2.0 o versioni successive.

      NOTA: se si selezionano più opzioni di autenticazione, in IIS verrà negoziato dapprima il metodo che garantisce maggior protezione, quindi verrà cercato nell'elenco dei protocolli disponibili quello supportato sia dal client che dal server.
    • Autenticazione del digest per server di dominio Windows: l'autenticazione del digest richiede un ID utente e una password, garantisce un livello di protezione medio e può essere utilizzata quando si desideri consentire l'accesso a informazioni protette da reti pubbliche. Le funzioni di questo metodo sono le stesse dell'autenticazione di base, con la differenza che questo metodo trasmette le credenziali dell'utente in rete come hash MD5, o digest del messaggio, in cui il nome utente e la password originali non possono essere decifrati a partire dall'hash. Per utilizzare questo metodo, nei client deve essere installato Microsoft Internet Explorer 5.0 o versioni successive e i client e i server Web devono appartenere allo stesso dominio oppure essere considerati attendibili dallo stesso dominio.

      Se si attiva l'autenticazione del digest, digitare il nome dell'area di autenticazione nella casella Area autenticazione.
    • Autenticazione di base (la password non crittografata): richiede un ID utente e una password e garantisce un livello di protezione basso. Le credenziali dell'utente vengono inviate in rete in formato non crittografato. Tale formato fornisce un livello basso di protezione in quanto la password può essere letta da quasi tutti gli analizzatori di protocollo. È tuttavia compatibile con il più ampio numero di client Web. Questa opzione è indicata nei casi in cui si desidera consentire l'accesso a informazioni poco o affatto riservate.

      Se si attiva l'autenticazione di base, digitare il nome del dominio che si desidera utilizzare nella casella Dominio predefinito. Se lo si desidera è anche possibile immettere un valore nella casella Area autenticazione.
    • Autenticazione Microsoft .NET Passport: l'autenticazione .NET Passport fornisce una protezione ad accesso unificato che consente agli utenti di accedere a diversi servizi in Internet. Quando si seleziona questa opzione, le richieste a IIS devono contenere credenziali valide per .NET Passport nella stringa di query o nel cookie. Se in IIS non vengono rilevate le credenziali di .NET Passport, le richieste vengono reindirizzate alla pagina di accesso .NET Passport.

      NOTA: quando si seleziona questa opzione, tutti gli altri metodi di autenticazione diventano indisponibili (sono inattivi).
  6. Un altro tipo di autenticazione è basato sull'host richiedente anziché sulle credenziali dell'utente. È possibile limitare l'accesso sulla base dell'indirizzo IP di origine, dell'ID di rete di origine o del nome di dominio di origine. Per configurare questo tipo di configurazione, attenersi alla seguente procedura:
    1. In Limitazioni sugli indirizzi IP e sui nomi di dominio scegliere Modifica.
    2. Effettuare una delle seguenti operazioni:
      • Per negare l'accesso, scegliere consentito, quindi Aggiungi. Nella finestra di dialogo Nega accesso specificare l'opzione desiderata, quindi scegliere OK.

        Il computer, il gruppo di computer o il dominio specificati verranno inseriti nell'elenco.

        Oppure
      • Per consentire l'accesso, fare clic su negato, quindi scegliere Aggiungi. Nella finestra di dialogo Concedi accesso selezionare l'opzione desiderata, quindi scegliere OK.

        Il computer, il gruppo di computer o il dominio selezionato verrà aggiunto all'elenco.
    3. Scegliere OK.
  7. Scegliere OK, quindi uscire da Gestione IIS o chiudere lo snap-in IIS.

Risoluzione dei problemi

  • È possibile che venga richiesto di applicare eventuali modifiche apportate a siti esistenti. Se si desidera applicare le modifiche di autenticazione ad altro contenuto, selezionare il contenuto nell'elenco dei nodi figlio, quindi scegliere OK. Se non si desidera applicare le modifiche a nessuno dei nodi figlio, non selezionare alcun elemento dell'elenco e scegliere OK.
  • In IIS è possibile impostare le opzioni di autenticazione a livello di sito Web, directory o file. I principi esposti in questo articolo sono infatti validi per ciascuno di questi ambiti.

Proprietà

Identificativo articolo: 324274 - Ultima modifica: martedì 4 dicembre 2007 - Revisione: 6.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
Chiavi: 
kbhowto kbhowtomaster kbwebservices kbappservices KB324274
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com