COMMENT FAIRE : Configurer l'authentification IIS (Internet Information Services) sur le Web dans Windows Server 2003

Cet article décrit étape par étape comment configurer l'authentification des demandes Web dans Microsoft Internet Information Services (IIS) 6.0.

Mode de fonctionnement de l'authentification sur le Web

L'authentification sur le Web désigne une communication entre le navigateur Web et le serveur Web avec intervention d'un nombre limité d'en-têtes HTTP (HyperText Transfer Protocol) et de messages d'erreur.

Le flux de communication se décompose de la manière suivante :

1. Le navigateur Web soumet une demande (HTTP-GET, par exemple).
2. Le serveur Web procède à un contrôle d'authentification. Comme l'authentification est obligatoire, le serveur renvoie un message d'erreur de ce type en cas d'échec :
   Vous n'êtes pas autorisé à afficher cette page
   
   Vous ne disposez pas des autorisations pour afficher ce répertoire ou cette page à l'aide des informations d'authentification que vous avez fournies.
   Ce message contient des informations que le navigateur Web peut utiliser pour resoumettre la demande en tant que demande authentifiée.
3. Le navigateur Web utilise la réponse du serveur pour élaborer une nouvelle demande comportant des informations d'authentification.
4. Le serveur Web procède à un contrôle d'authentification. En cas de réussite, le serveur Web envoie au navigateur Web les données initialement demandées.

Méthodes d'authentification

Remarque : avec certaines méthodes d'authentification décrites ci-dessous, vous devez utiliser des lecteurs formatés avec le système de fichiers NTFS, car ces lecteurs assurent le niveau de sécurité le plus élevé.

IIS prend en charge les méthodes d'authentification sur le Web suivantes :

Authentification anonyme

IIS crée le compte IUSR_nom_ordinateur (où nom_ordinateur correspond au nom du serveur qui exécute IIS) pour authentifier les utilisateurs anonymes qui soumettent une demande de contenu Web. Ce compte autorise l'utilisateur à ouvrir une session locale. Vous pouvez réinitialiser l'accès des utilisateurs anonymes de manière à utiliser tout compte Windows valide.

Remarque : vous pouvez créer différents comptes anonymes pour différents sites Web, répertoires virtuels ou physiques et fichiers.

Si l'ordinateur exécutant Windows Server 2003 est un serveur autonome, le compte IUSR_nom_ordinateur se trouve alors sur le serveur local. Si le serveur est un contrôleur de domaine, le compte IUSR_nom_ordinateur est alors défini pour le domaine.

Authentification de base

L'authentification de base permet de limiter l'accès aux fichiers qui se trouvent sur le serveur Web au format NTFS. Avec l'authentification de base, l'utilisateur doit entrer des informations d'identification et l'accès repose sur l'ID d'utilisateur. L'ID d'utilisateur et le mot de passe sont envoyés sur le réseau en texte clair.

Pour utiliser l'authentification de base, accordez à chaque utilisateur le droit d'ouvrir une session locale. Pour en faciliter la gestion, ajoutez chaque utilisateur à un groupe ayant accès aux fichiers nécessaires.

Remarque : comme les informations d'identification de l'utilisateur sont codées en Base64 mais ne sont pas chiffrées lors de leur transmission sur le réseau, l'authentification de base n'est pas considérée comme un mode d'authentification sécurisé.

Authentification Windows intégrée

L'authentification Windows intégrée est plus sécurisée que l'authentification de base et fonctionne bien dans un environnement intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows. Dans le cadre d'une authentification Windows intégrée, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine. En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe. Lorsque vous utilisez l'authentification Windows intégrée, le mot de passe de l'utilisateur n'est pas transmis au serveur. Si l'utilisateur a ouvert une session sur l'ordinateur local en tant qu'utilisateur du domaine, il ne doit alors pas s'authentifier une nouvelle fois pour accéder à un ordinateur réseau de ce domaine. Notez que vous devez utiliser Microsoft Internet Explorer 2.0 ou version ultérieure comme navigateur Web lorsque vous avez recours à l'authentification Windows intégrée.

Remarque : vous ne pouvez pas utiliser l'authentification Windows intégrée par l'intermédiaire d'un serveur proxy.

Authentification Digest

L'authentification Digest comble les nombreuses lacunes de l'authentification de base. Le mot de passe n'est pas envoyé en texte clair lorsque vous utilisez l'authentification Digest. Vous pouvez par ailleurs utiliser l'authentification Digest par l'intermédiaire d'un serveur proxy. L'authentification Digest s'appuie sur un mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée. Pour utiliser l'authentification Digest, prenez en compte les exigences suivantes :

• L'utilisateur et le serveur IIS doivent être membres du même domaine ou être approuvés par celui-ci.
• Les utilisateurs doivent posséder un compte d'utilisateur Windows valide stocké dans Active Directory sur le contrôleur de domaine.
• Le domaine doit utiliser un contrôleur de domaine Microsoft Windows 2000 ou version ultérieure.
• Vous devez installer le fichier IISSuba.dll sur le contrôleur de domaine. Ce fichier est automatiquement copié lors de l'installation de Windows 2000 ou de Windows Server 2003.
• Vous devez sélectionner l'option de compte Enregistrer le mot de passe en utilisant un cryptage réversible pour tous les comptes d'utilisateurs. Pour sélectionner cette option de compte, vous devez redéfinir ou retaper le mot de passe.

Remarque : vous devez utiliser Microsoft Internet Explorer 5.0 ou version ultérieure comme navigateur Web lorsque vous avez recours à l'authentification Digest.

Authentification .NET Passport

Microsoft .NET Passport est un service d'authentification des utilisateurs qui assure une authentification unique sécurisée. Les utilisateurs disposent ainsi d'un accès encore plus sécurisé aux services et aux sites Web .NET Passport. Les sites .NET Passport s'appuient sur le serveur central .NET Passport pour authentifier les utilisateurs. Le serveur central n'autorise et ne refuse toutefois pas à un utilisateur donné l'accès à des sites .NET Passport particuliers. Le contrôle des autorisations des utilisateurs relève du site Web. Lorsque vous sélectionnez cette option, les demandes soumises à IIS doivent contenir des informations d'identification .NET Passport valides, soit dans la chaîne de requête, soit dans le cookie. Lorsque Microsoft IIS ne détecte pas d'informations d'identification .NET Passport, les demandes sont redirigées vers la page d'ouverture de session .NET Passport.

Mappage de certificat client

Le mappage de certificat client consiste à établir une correspondance entre un certificat et un compte d'utilisateur. Dans ce modèle, un utilisateur présente un certificat dont le mappage est examiné par le système pour déterminer le compte d'utilisateur devant faire l'objet d'une ouverture de session. Vous pouvez mapper un certificat à un compte d'utilisateur Windows en procédant de l'une des manières suivantes :

• À l'aide de Microsoft Active Directory
  
  - ou -
• À l'aide de règles définies dans IIS

Pour plus d'informations sur la façon de mapper des certificats clients à des comptes d'utilisateurs, reportez-vous à la section consacrée au mappage de certificat client dans la documentation d'IIS. Si vous avez installé IIS, vous pouvez accéder aux fichiers d'aide en procédant de l'une des manières suivantes :

• Cliquez avec le bouton droit sur un noeud dans le Gestionnaire des services Internet, puis cliquez sur ? (Aide).
  
  - ou -
• Lancez l'Explorateur Windows, recherchez le dossier disque_dur:\Windows\Help et ouvrez le fichier Lismmc.chm.

Vous pouvez configurer chaque méthode d'authentification de manière à contrôler l'accès aux éléments suivants sur le serveur IIS :

• ensemble du contenu Web hébergé sur le serveur IIS ;
• sites Web particuliers hébergés sur le serveur IIS ;
• répertoires virtuels ou physiques particuliers figurant dans un site Web ;
• pages ou fichiers particuliers figurant dans un site Web.

Comment faire pour configurer l'authentification de sites Web IIS

1. Utilisez un compte administratif pour ouvrir une session sur le serveur Web.
2. Lancez le Gestionnaire des services Internet ou ouvrez le composant logiciel enfichable IIS.
3. Développez nom_serveur , où nom_serveur correspond au nom du serveur, puis développez Sites Web.
4. Utilisez l'une des méthodes suivantes (selon votre cas), puis cliquez sur Propriétés :
   • Pour configurer l'authentification de l'ensemble du contenu Web hébergé sur le serveur IIS, cliquez avec le bouton droit sur Sites Web.
   • Pour configurer l'authentification d'un site Web particulier, cliquez avec le bouton droit sur le site Web concerné.
   • Pour configurer l'authentification d'un répertoire virtuel ou physique figurant dans un site Web, cliquez sur le site Web concerné, puis cliquez avec le bouton droit sur le répertoire concerné (_vti_pvt, par exemple).
   • Pour configurer l'authentification d'une page ou d'un fichier particulier figurant dans un site Web, cliquez sur le site Web concerné, cliquez sur le dossier qui contient la page ou le fichier concerné, puis cliquez avec le bouton droit sur la page ou le fichier concerné.
5. Dans la boîte de dialogue Propriétés nom_élément (où nom_élément correspond au nom de l'élément que vous avez sélectionné), cliquez sur l'onglet Sécurité de répertoire ou sur l'onglet Sécurité de fichier (selon le cas).
6. Sous Connexions anonymes et contrôle d'authentification, cliquez sur Modifier.
7. Activez la case à cocher Connexion anonyme pour activer la connexion anonyme. Pour désactiver la connexion anonyme, désactivez cette case à cocher.
   
   Remarque : lorsque vous désactivez la connexion anonyme, vous devez configurer un type d'accès authentifié.
   
   Pour modifier le compte qui est utilisé pour la connexion anonyme à cette ressource, cliquez sur Parcourir, puis sur le compte d'utilisateur que vous souhaitez utiliser et enfin sur OK.
8. Sous Accès authentifié, activez la case à cocher Authentification Windows intégrée pour utiliser l'authentification Windows intégrée.
   
   Remarque : cette méthode d'authentification était auparavant désignée par « Stimulation/réponse de Microsoft Windows NT » ou par « NT LAN Manager (NTLM) ».
9. Activer la case à cocher Authentification Digest pour les serveurs de domaine Windows pour utiliser l'authentification Digest. Lorsque le message suivant s'affiche, cliquez sur Oui :
   L'authentification Digest ne fonctionne qu'avec les comptes de domaine Active Directory. Pour plus d'informations sur la configuration de comptes de domaine Active Directory pour permettre l'authentification Digest, cliquez sur Aide.
   
   Êtes-vous sûr de vouloir continuer ?
   Tapez le nom de domaine dans la zone Domaine.
   
   Remarque : vous devez sélectionner l'option de compte Enregistrer le mot de passe en utilisant un cryptage réversible pour tous les comptes d'utilisateurs.
10. Activez la case à cocher Authentification de base (le mot de passe est envoyé en texte clair) pour utiliser l'authentification de base. Lorsque le message suivant s'affiche, cliquez sur Oui :
    Avec l'option d'authentification que vous avez choisie, les mots de passe sont transmis sur le réseau sans cryptage des données. Une personne tentant de mettre en péril la sécurité de votre système pourrait utiliser un analyseur de protocole pour examiner les mots de passe utilisateur pendant le processus d'identification. Pour plus de détails sur l'authentification utilisateur, consultez l'aide en ligne. Cet avertissement ne s'applique pas aux connexions HTTPS (ou SSL).
    
    Êtes-vous sûr de vouloir continuer ?
    1. Pour spécifier un domaine avec lequel authentifier les utilisateurs qui utilisent l'authentification de base, tapez le domaine concerné dans la zone Domaine par défaut.
    2. À ce stade, vous pouvez également entrer une valeur dans la zone Domaine.
11. Activez la case à cocher Authentification .NET Passport pour utiliser l'authentification .NET Passport.
    
    Remarque : lorsque vous sélectionnez cette option, les autres méthodes d'authentification ne sont pas disponibles.
12. Cliquez sur OK. Dans la boîte de dialogue Propriétésnom_élément, cliquez sur OK. Dans la boîte de dialogue Héritages outrepassés qui s'ouvre, procédez comme suit :
    1. Cliquez sur Sélectionner tout pour appliquer les nouveaux paramètres d'authentification à tous les fichiers ou dossiers qui se trouvent dans l'élément que vous avez modifié.
    2. Cliquez sur OK.
13. Quittez le Gestionnaire des services Internet ou fermez le composant logiciel enfichable IIS.

Pour plus d'informations sur la configuration de l'authentification des sites Web IIS dans Windows Serveur 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Pour plus d'informations sur le dépannage d'un serveur Web dans Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :