Como configurar autenticação de site Web do IIS no Windows Server 2003

Este artigo descreve como configurar o Microsoft Internet autenticação de site do IIS (Serviços de informações) no Windows Server 2003. Você pode configurar o IIS para autenticar usuários antes de eles têm acesso a um site da Web, uma pasta no site ou até mesmo um determinado documento contidos em uma pasta no site. Autenticação no IIS pode ser usada para aumentar o nível de segurança em sites, pastas e documentos que não são para ser exibido pelo público geral.

Autenticação no IIS é fundamental quando recursos não são indicados para acesso anônimo ou público, mas quando o servidor Web deve estar acessível a usuários aprovados pela Internet. Microsoft Outlook Web Access (OWA) e o Microsoft Terminal Services Advanced Client são exemplos de aplicativos de site que requerem controle de acesso de autenticação.

Como configurar a autenticação no IIS

1. Inicie o Gerenciador do IIS ou abra o snap-in do IIS.
2. Expanda Server_name, onde Server_name é o nome do servidor e, em seguida, expanda Sites .
3. Na árvore de console, clique com o botão direito do mouse o site, diretório virtual ou arquivo para o qual você deseja configurar a autenticação e, em seguida, clique em Propriedades .
4. Clique na guia Segurança de diretório ou Segurança de arquivo (conforme apropriado) e, em seguida, em anônimo e controle de acesso , clique em Editar .
5. Clique para selecionar a caixa de seleção ao lado do método de autenticação ou métodos que você deseja usar e, em seguida, clique em OK .
   
   Os métodos de autenticação que são definidos por padrão são acesso anônimo e integrada do Windows autenticação :
   • acesso anônimo : ao acesso anônimo estiver ativado, sem credenciais do usuário autenticado são necessárias para acessar o site. Essa opção melhor é usada quando você deseja conceder acesso público a informações que precisa sem segurança. Quando um usuário tenta se conectar ao seu site da Web, o IIS atribui a conexão para a conta IUSER_ ComputerName, onde ComputerName é o nome do servidor no qual o IIS está sendo executado. Por padrão, o IUSER_ ComputerName conta é membro do grupo Convidados. Esse grupo tem restrições de segurança, impostas pelas permissões de sistema de arquivo NTFS, que determina o nível de acesso e o tipo de conteúdo que está disponível para os usuários públicos. Para editar o Windows conta usada para acesso anônimo, clique em Procurar na caixa acesso anônimo .
     
     importante Se você ativar o acesso anônimo, o IIS sempre tenta autenticar usuários usando a autenticação anônima em primeiro lugar, mesmo se você ativar métodos de autenticação adicionais.
   • autenticação integrada do Windows : antiga chamado NTLM ou autenticação desafio/resposta do Windows NT , esse método envia informações de autenticação de usuário pela rede como um tíquete Kerberos e fornece um alto nível de segurança. Windows Autenticação integrada do usa a autenticação NTLM e Kerberos versão 5. Para usar esse método, os clientes devem usar o Microsoft Internet Explorer 2.0 ou posterior. Além disso, autenticação integrada do Windows é suportada por HTTP proxy conexões. Esta opção é melhor usado para uma intranet, onde tanto o usuário e servidores Web estão no mesmo domínio e os administradores podem verificar que cada usuário está usando o Internet Explorer 2.0 ou posterior.
     
     Observação Se forem selecionadas várias opções de autenticação, IIS tenta negociar o método mais seguro primeiro e, em seguida, ele funciona para baixo na lista de protocolos de autenticação disponíveis até que um protocolo de autenticação mútua é suportado pelo cliente e servidor.
   • A autenticação Digest para servidores de domínio do Windows : A autenticação Digest requer um ID de usuário e uma senha, fornece um nível médio de segurança e pode ser usada quando você deseja conceder acesso para proteger as informações de redes públicas. Este método oferece a mesma funcionalidade que a autenticação básica. No entanto, esse método transmite as credenciais do usuário através da rede como um hash MD5 ou síntese da mensagem , no qual o nome de usuário original e a senha não podem ser decifradas partir do hash. Para usar esse método, os clientes devem usar o Microsoft Internet Explorer 5.0 ou posterior.
     
     Se você ativar a autenticação Digest, digite o nome de território na caixa território .
   • autenticação básica (a senha é enviada em texto não criptografado) : autenticação básica necessita de um ID de usuário e senha e fornece um nível baixo de segurança. Credenciais do usuário são enviadas em texto não criptografado pela rede. Esse formato fornece um nível baixo de segurança porque a senha pode ser lido por quase todos os analisadores de protocolo. No entanto, ele é compatível com o maior número de clientes da Web. Essa opção melhor é usada quando você deseja conceder acesso a informações com pouca ou nenhuma necessidade de privacidade.
     
     Se você ativar a autenticação básica, digite o nome de domínio que você deseja usar na caixa domínio padrão . Também, opcionalmente, você pode inserir um valor na caixa território .
   • Microsoft .NET Passport autenticação : autenticação do Passport .NET fornece única entrar segurança, que fornece aos usuários acesso a diversos serviços na Internet. Quando você seleciona essa opção, as solicitações para IIS devem conter o .NET Passport válido credenciais na seqüência de consulta ou no cookie. Se o IIS não detectar as credenciais do Passport, solicitações são redirecionadas para a página de logon do Passport.
     
     Observação Quando você seleciona essa opção, todos os outros métodos de autenticação estão indisponíveis (esmaecidos).
6. Outro tipo de autenticação é baseado no host solicitante em vez de nas credenciais do usuário. Você pode limitar o acesso com base em IP de origem endereço, identificação de rede de origem ou nome de domínio de origem. Para configurar esse tipo de autenticação, execute estas etapas:
   1. Em endereço IP e nome de domínio restrições , clique em Editar .
   2. Siga um destes procedimentos:
      • Para negar acesso, clique em Acesso permitido e, em seguida, clique em Adicionar . Na caixa de diálogo Negar acesso em que aparece, especifique a opção que você deseja e, em seguida, clique em OK .
        
        O computador, grupo de computadores ou domínio que você especificou é adicionado à lista.
      • Para conceder acesso, clique em Acesso negado e, em seguida, clique em Adicionar . Na caixa de diálogo Conceder acesso em que aparece, selecione a opção que deseja e, em seguida, clique em OK .
        
        O computador, grupo de computadores ou domínio que você selecionou é adicionado à lista.
   3. Clique em OK .
7. Clique em OK , em seguida, feche o Gerenciador do IIS ou feche o snap-in do IIS.

Solução de problemas

• Você pode ser solicitado a aplicar quaisquer alterações feitas aos sites existentes. Se desejar que as alterações de autenticação sejam aplicadas a outro conteúdo, clique no conteúdo da lista de nós filhos e, em seguida, clique em OK . Se você não deseja as alterações aplicadas a qualquer um de nós filhos, não selecione quaisquer itens na lista e, em seguida, clique em OK .
• No IIS, você pode definir opções de autenticação no nível de arquivo, diretório ou site. Os mesmos princípios descritos neste artigo se aplicam a cada.