Como configurar a autenticação em Web sites do IIS no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 324274 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como configurar a autenticação em Web sites do Microsoft IIS (Serviços de informação Internet - Internet Information Services) no Windows Server 2003. É possível configurar o IIS para autenticar os utilizadores antes de lhes ser permitido o acesso a um Web site, a uma pasta do site ou a um determinado documento de uma pasta do site. A autenticação no IIS pode ser utilizada para aumentar o nível de segurança de sites, pastas e documentos que não sejam para visualização do público geral.

A autenticação no IIS é fundamental quando os recursos não se destinam ao acesso público ou anónimo, mas sim para quando o servidor da Web tem de estar acessível a utilizadores aprovados, na Internet. Exemplos de aplicações de Web sites que requerem controlo de acesso através de autenticação incluem o Microsoft Outlook Web Access (OWA) e o Microsoft Terminal Services Advanced Client.


Como configurar a autenticação no IIS

  1. Inicie o gestor ou o snap-in do IIS.
  2. Expanda o Nome_do_servidor, em que Nome_do_servidor é o nome do servidor e, em seguida, expanda Web sites.
  3. Na árvore da consola, clique com o botão direito do rato no Web site, directório virtual ou ficheiro para o qual pretende configurar a autenticação e, em seguida, clique em Propriedades (Properties).
  4. Clique no separador Segurança de directórios (Directory Security) ou Segurança de ficheiros [File Security] (conforme apropriado) e, em seguida, em Controlo de acesso e autenticação (Authentication and access control), clique em Editar (Editar).
  5. Seleccione a caixa de verificação do método ou métodos de autenticação que pretende utilizar e, em seguida, clique em OK.

    Os métodos de autenticação predefinidos são Acesso anónimo (Anonymous access) e Autenticação integrada do Windows (Integrated Windows authentication):
    • Acesso anónimo (Anonymous access): quando o acesso anónimo está activado, não são necessárias credenciais autenticadas de utilizador para aceder ao site. Esta opção deve ser utilizada quando pretende conceder acesso público a informações que não necessitam de segurança. Quando um utilizador tenta ligar ao Web site, o IIS atribui a ligação à conta IUSER_Nome_do_computador , em que Nome_do_computador é o nome do servidor em que o IIS está em execução. Por predefinição, a conta IUSER_Nome_do_computador é membro do grupo Convidados (Guests). Este grupo tem restrições de segurança, impostas pelas permissões do sistema de ficheiros NTFS, que designam o nível de acesso e o tipo de conteúdo disponível a utilizadores públicos. Para editar a conta do Windows utilizada para o acesso anónimo, clique em Procurar na caixa Permitir acesso anónimo (Anonymous access).

      IMPORTANTE: se activar o acesso anónimo, o IIS tenta sempre autenticar os utilizadores utilizando primeiro a autenticação anónima, mesmo que active métodos de autenticação adicionais.
    • Autenticação integrada do Windows (Integrated Windows authentication): anteriormente designada por NTLM ou autenticação challenge/response do Windows NT, este método envia informações de autenticação do utilizador através da rede como uma permissão Kerberos e fornece um nível elevado de segurança. A autenticação integrada do Windows utiliza autenticação Kerberos versão 5 e NTLM. Para utilizar este método, os clientes têm de utilizar o Microsoft Internet Explorer 2.0 ou posterior. Além disso, a autenticação integrada do Windows não é suportada em ligações HTTP com proxy. Esta opção deve ser utilizada numa intranet, em que o servidor da Web e o computador do utilizador se encontram no mesmo domínio e os administradores podem certificar-se de que todos os utilizadores utilizam o Internet Explorer 2.0 ou posterior.

      NOTA: se forem seleccionadas várias opções de autenticação, o IIS tentará negociar primeiro o método mais seguro e, em seguida, percorre a lista de protocolos de autenticação disponíveis até encontrar um protocolo de autenticação mútua suportado pelo cliente e pelo servidor.
    • Autenticação de texto implícita para servidores de domínio do Windows (Digest authentication for Windows domain servers): a autenticação de texto implícita requer um ID e palavra-passe de utilizador, fornece um nível médio de segurança e pode ser utilizada quando pretender conceder acesso a informações protegidas de redes públicas. Este método oferece a mesma funcionalidade que a autenticação base. No entanto, este método transmite as credenciais de utilizador através da rede como um hash MD5 ou resumo de mensagens, em que o nome e palavra-passe originais do utilizador não podem ser decifrados a partir do hash. Para utilizar este método, os clientes têm de utilizar o Microsoft Internet Explorer 5.0 ou posterior e os clientes e servidores da Web têm de ser membros do mesmo domínio ou serem considerados como fidedignos pelo mesmo domínio.

      Se activar a autenticação de texto implícita, escreva o nome de domínio na caixa Domínio (Realm).
    • Autenticação base (a palavra-passe é enviada em texto simples) [Basic authentication (password is sent in clear text)]: a autenticação base requer um ID e palavra-passe de utilizador e fornece um nível baixo de segurança. As credenciais de utilizador são enviadas em texto simples através da rede. Este formato fornece um nível baixo de segurança porque a palavra-passe pode ser lida por quase todos os analisadores de protocolos. No entanto, é compatível com o maior número de clientes Web. Esta opção deve ser utilizada quando pretende conceder acesso a informações com pouca ou nenhuma privacidade.

      Se activar a autenticação base, escreva o nome do domínio que pretende utilizar na caixa Domínio predefinido (Default domain). Opcionalmente, também pode introduzir um valor na caixa Domínio (Realm).
    • Autenticação Microsoft .NET Passport (Microsoft .NET Passport authentication): a autenticação .NET Passport fornece uma segurança de início de sessão única, que proporciona aos utilizadores acesso a vários serviços na Internet. Quando selecciona esta opção, os pedidos enviados ao IIS devem conter credenciais de .NET Passport válidas na cadeia de consulta ou no cookie. Se o IIS não detectar credenciais de .NET Passport, os pedidos são redireccionados para a página de início de sessão do .NET Passport.

      NOTA: quando selecciona esta opção, todos os outros métodos de autenticação ficam indisponíveis (aparecem desactivados).
  6. Outro tipo de autenticação baseia-se no anfitrião que efectua o pedido e não nas credenciais de utilizador. Pode limitar o acesso com base no endereço IP de origem, no ID da rede de origem ou no nome de domínio de origem. Para configurar este tipo de autenticação, siga estes passos:
    1. Em Restrições de endereço IP e de nome de domínio (IP Address and Domain Name Restrictions), clique em Editar (Edit).
    2. Efectue um dos seguintes procedimentos:
      • Para negar o acesso, clique em Acesso concedido (Granted Access) e, em seguida, clique em Adicionar (Add). Na caixa de diálogo Negar acesso (Deny Access On) que é apresentada, especifique a opção pretendida e, em seguida, clique em OK.

        O computador, grupo de computadores ou domínio especificado é adicionado à lista.

        - ou -
      • Para conceder acesso, clique em Acesso negado (Denied Access) e, em seguida, clique em Adicionar (Add). Na caixa de diálogo Conceder acesso (Grant Access On) que é apresentada, especifique a opção pretendida e, em seguida, clique em OK.

        O computador, grupo de computadores ou domínio seleccionado é adicionado à lista.
    3. Clique em OK.
  7. Clique em OK e, em seguida, saia do gestor do IIS ou feche o snap-in.

Resolução de problemas

  • Poder-lhe-á ser pedido que aplique alterações que tenha efectuado nos sites existentes. Se pretender que as alterações de autenticação se apliquem a outro conteúdo, clique no conteúdo a partir da lista de nós secundários e, em seguida, clique em OK. Se não pretender que as alterações se apliquem aos nós secundários, não seleccione itens na lista e, em seguida, clique em OK.
  • No IIS, é possível definir opções de autenticação ao nível do Web site, do directório ou do ficheiro. Os mesmos princípios abordados neste artigo são aplicáveis a qualquer das opções.

Propriedades

Artigo: 324274 - Última revisão: 4 de dezembro de 2007 - Revisão: 6.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbhowto kbhowtomaster kbwebservices kbappservices KB324274

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com