CÓMO: Configurar la autenticación Web de Servicios de Internet Information Server en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 324276 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo configurar la autenticación para solicitudes Web en Servicios de Microsoft Internet Information Server (IIS) 6.0.

Cómo funciona la autenticación Web

La autenticación Web es una comunicación entre el explorador y el servidor Web donde participan un pequeño número de encabezados del Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol) y mensajes de error.

El flujo de comunicación es el siguiente:
  1. El explorador Web hace una solicitud, por ejemplo, HTTP-GET.
  2. El servidor Web realiza una comprobación de autenticación. Si no es correcta porque se requiere autenticación, responde con un mensaje de error similar al siguiente:
    No está autorizado a ver esta página

    No tiene permiso para ver este directorio o página con las credenciales proporcionadas.
    El explorador Web puede utilizar la información incluida en este mensaje para volver a enviar la solicitud como una solicitud autenticada.
  3. El explorador Web utiliza la respuesta del servidor para crear una nueva solicitud que contiene información de autenticación.
  4. El servidor Web realiza una comprobación de autenticación. Si la comprobación es correcta, devuelve al explorador Web los datos solicitados inicialmente.

Métodos de autenticación

Nota: con algunos de los métodos de autenticación siguientes deben utilizarse unidades con el formato de sistema de archivos NTFS, ya que las unidades con este formato son las que tienen el mayor grado de seguridad.

IIS acepta los métodos de autenticación Web siguientes:

Autenticación anónima

IIS crea la cuenta IUSR_ NombreDeEquipo(donde NombreDeEquipoes el nombre del servidor que ejecuta IIS) para autenticar a los usuarios anónimos cuando solicitan contenido Web. Esta cuenta concede al usuario el derecho de iniciar sesión localmente. Puede restablecer el acceso de los usuarios anónimos para que utilicen cualquier cuenta válida de Windows.

Nota: es posible configurar distintas cuentas anónimas para diferentes sitios Web, directorios virtuales o directorios físicos y archivos.

Si el equipo basado en Windows Server 2003 es un servidor independiente, la cuenta IUSR_ NombreDeEquipo se encuentra en el servidor local. Si el servidor es un controlador de dominio, la cuenta IUSR_ NombreDeEquipo se define para todo el dominio.

Autenticación básica

Utilice la autenticación básica para restringir el acceso a los archivos de un servidor Web con formato NTFS. Con la autenticación básica, el usuario debe especificar sus credenciales y el acceso se basa en su identificador. Tanto el identificador de usuario como la contraseña se envían a través de la red en forma de texto sin cifrar.

Para utilizar la autenticación básica, conceda a cada usuario el derecho de iniciar sesión localmente y, para simplificar la administración, agregue los usuarios a un grupo que tenga acceso a los archivos necesarios.

Nota: como las credenciales de usuario se codifican con Base64 pero no se cifran cuando se transmiten a través de la red, la autenticación básica no se considera un método seguro.

Autenticación de Windows integrada

La autenticación de Windows integrada es más segura que la autenticación básica y funciona bien en un entorno de intranet en el que los usuarios tienen cuentas de dominio de Windows. En la autenticación de Windows integrada, el explorador intenta utilizar las credenciales de usuario actuales, obtenidas del inicio de sesión en el dominio, y, si se produce un error, se pide al usuario que especifique un nombre de usuario y una contraseña. Si utiliza la autenticación de Windows integrada, la contraseña del usuario no se transmite al servidor. Si el usuario ha iniciado sesión en el equipo local como un usuario del dominio, no necesita autenticarse de nuevo cuando tiene acceso a un equipo de la red en dicho dominio. Tenga en cuenta que debe utilizar Microsoft Internet Explorer 2.0 o posterior como explorador Web si va a emplear la autenticación de Windows integrada.

Nota: la autenticación de Windows integrada no puede utilizarse a través de un servidor proxy.

Autenticación de texto implícita

La autenticación de texto implícita resuelve muchos de los puntos débiles de la autenticación básica. Cuando se utiliza la autenticación de texto implícita, la contraseña no se envía como texto sin cifrar. Además, puede utilizarse a través de un servidor proxy. La autenticación de texto implícita utiliza un mecanismo de desafío/respuesta (que la autenticación de Windows integrada también utiliza) en el que se envía la contraseña en formato cifrado. Para utilizar la autenticación de texto implícita, tenga en cuenta los requisitos siguientes:
  • El usuario y el servidor de IIS deben ser miembros del mismo dominio o tener su confianza.
  • Los usuarios deben disponer de una cuenta de usuario de Windows válida, almacenada en Active Directory en el controlador de dominio.
  • El dominio debe utilizar un controlador con Microsoft Windows 2000 o posterior.
  • Debe instalar el archivo IISSuba.dll en el controlador de dominio. Este archivo se copia automáticamente durante la instalación de Windows 2000 o Windows Server 2003.
  • Debe configurar todas las cuentas de usuario con la opción de cuenta Almacenar contraseña usando cifrado reversible. Para seleccionar esta opción de cuenta, debe restablecer o volver a introducir la contraseña.
Nota: si va a emplear la autenticación de texto implícita, tiene que utilizar Microsoft Internet Explorer 5.0 o posterior como explorador Web.

Autenticación de .NET Passport

Microsoft .NET Passport es un servicio de autenticación de usuarios que proporciona seguridad con un inicio de sesión único, lo que ofrece a los usuarios un acceso seguro a los sitios y servicios Web habilitados para .NET Passport. Dichos sitios confían en el servidor central de .NET Passport para autenticar a los usuarios. Sin embargo, el servidor central no autoriza o niega el acceso de un usuario específico a sitios individuales habilitados para .NET Passport. Es responsabilidad del sitio Web controlar los permisos de los usuarios. Cuando selecciona esta opción, las solicitudes a IIS deben contener credenciales de .NET Passport válidas en la cadena de consulta o en una cookie. Si IIS no detecta las credenciales de .NET Passport, las solicitudes se redirigen a la página de inicio de sesión de .NET Passport.

Asignación de certificados de cliente

La asignación de certificados de cliente es un método en el que se crea una asignación entre un certificado y una cuenta de usuario. En este modelo, un usuario presenta un certificado y el sistema examina la asignación para determinar qué cuenta de usuario debe iniciar sesión. Hay dos formas de asignar un certificado a una cuenta de usuario de Windows:
  • Mediante Active Directory.

    O bien
  • Mediante reglas definidas en IIS.
Para obtener información adicional acerca de cómo asignar certificados de cliente a cuentas de usuario, busque "Asignación de certificados de cliente" en la documentación de IIS. Si instaló IIS, puede tener acceso a los archivos de Ayuda mediante uno de los métodos siguientes:
  • Haga clic con el botón secundario del mouse (ratón) en cualquier nodo del Administrador de servicios Internet y haga clic en Ayuda.

    O bien
  • Inicie el explorador de Windows, busque la carpeta disco duro:\Windows\Help y abra el archivo Lismmc.chm.
Cada uno de los métodos de autenticación puede configurarse para controlar el acceso a los elementos siguientes en el servidor de IIS:
  • Todo el contenido Web alojado en el servidor de IIS.
  • Sitios Web individuales alojados en el servidor de IIS.
  • Directorios virtuales o físicos individuales de un sitio Web.
  • Páginas o archivos individuales de un sitio Web.

Cómo configurar la autenticación de un sitio Web de IIS

  1. Utilice una cuenta administrativa para iniciar sesión en el servidor Web.
  2. Inicie el Administrador de IIS o abra el complemento IIS.
  3. Expanda nombreDeServidor, donde nombreDeServidor es el nombre del servidor, y expanda Sitios Web.
  4. Utilice uno de los métodos siguientes (aquel que corresponda a su situación) y, después, haga clic en Propiedades:
    • Para configurar la autenticación para todo el contenido Web alojado en el servidor de IIS, haga clic con el botón secundario del mouse en Sitios Web.
    • Para configurar la autenticación para un sitio Web individual, haga clic con el botón secundario del mouse en el sitio Web que desee.
    • Para configurar la autenticación para un directorio virtual o un directorio físico de un sitio Web, haga clic en el sitio Web que desee y, después, haga clic con el botón secundario del mouse en el directorio correspondiente, por ejemplo, _vti_pvt.
    • Para configurar la autenticación en una página o un archivo individual de un sitio Web, haga clic en el sitio Web que desee, haga clic en la carpeta que contiene el archivo o la página correspondiente y, después, haga clic con el botón secundario del mouse en ese archivo o página.
  5. En el cuadro de diálogo Propiedades de NombreDeElemento (donde NombreDeElemento es el nombre del elemento que seleccionó), haga clic en la ficha Seguridad de directorios o Seguridad de archivos (según corresponda).
  6. En Control de autenticación y acceso anónimo, haga clic en Modificar.
  7. Active la casilla de verificación Acceso anónimo para activar este método de acceso. Para desactivar el acceso anónimo, desactive esta casilla de verificación.

    Nota: si desactiva el acceso anónimo, deberá configurar otro método de acceso autenticado.

    Para cambiar la cuenta utilizada para el acceso anónimo a este recurso, haga clic en Examinar, seleccione la cuenta de usuario que desee utilizar y haga clic en Aceptar.
  8. En Acceso autenticado, active la casilla de verificación Autenticación de Windows integrada si desea utilizar este método de autenticación.

    Nota: este método de autenticación se denominaba antes Desafío/Respuesta de Microsoft Windows NT o NT LAN Manager (NTLM).
  9. Active la casilla de verificación Autenticación de texto implícita para servidores de dominio de Windows si desea utilizar este método de autenticación. Cuando aparezca el mensaje siguiente, haga clic en :
    La autenticación de texto implícita sólo funciona con cuentas de dominio de Active Directory. Para obtener más información acerca de cómo configurar cuentas de dominio de Active Directory para permitir la autenticación de texto implícita, haga clic en Ayuda.

    ¿Está seguro de que desea continuar?
    Escriba el nombre de territorio en el cuadro Territorio.

    Nota: debe configurar las cuentas de usuario con la opción de cuenta Almacenar contraseña usando cifrado reversible activada.
  10. Active la casilla de verificación Autenticación básica (la contraseña se envía en texto no cifrado) si desea utilizar este método de autenticación. Cuando aparezca el mensaje siguiente, haga clic en :
    La elección de esta opción de autenticación implica la transmisión de contraseñas sin cifrar a través de la red. Alguien que quisiera comprometer la seguridad de su sistema podría examinar sus contraseñas durante el proceso de autenticación. Para obtener más información acerca de la autenticación de usuarios, consulte la Ayuda en pantalla. Esta advertencia no es aplicable a las conexiones HTTPS (o SSL).

    ¿Está seguro de que desea continuar?
    1. Para especificar un dominio con el que autenticar a los usuarios que utilicen la autenticación básica, escriba el dominio que desee en el cuadro Dominio predeterminado.
    2. En este momento, también tiene la opción de especificar un valor en el cuadro Territorio.
  11. Active la casilla de verificación Autenticación de .NET Passport si desea utilizar este método de autenticación.

    Nota: cuando se selecciona esta opción, los demás métodos de autenticación no están disponibles.
  12. Haga clic en Aceptar y, después, en el cuadro de diálogo Propiedades de NombreDeElemento, haga clic en Aceptar. Si aparece el cuadro de diálogo Herencia omitida, efectúe los pasos siguientes:
    1. Haga clic en Seleccionar todo para aplicar la nueva configuración de autenticación a todos los archivos o carpetas ubicados en el elemento modificado.
    2. Haga clic en Aceptar.
  13. Salga del Administrador de IIS o cierre el complemento IIS.

Referencias

Para obtener información adicional acerca de cómo configurar la autenticación de sitios Web de IIS en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
324274 CÓMO: Configurar la autenticación de sitio Web de IIS en Windows Server 2003
Para obtener información adicional acerca de cómo solucionar los problemas de un servidor Web en Windows 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
323358 CÓMO: Solucionar problemas de un servidor Web en Windows Server 2003

Propiedades

Id. de artículo: 324276 - Última revisión: martes, 04 de diciembre de 2007 - Versión: 9.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Servicios de Microsoft Internet Information Server 6.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kberrmsg kbhowto kbhowtomaster kbwebservices kbappservices KB324276

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com