CARA: Mengkonfigurasi Internet Information Services Web otentikasi pada Windows Server 2003

Artikel ini selangkah demi selangkah menjelaskan cara mengkonfigurasi otentikasi berbasis Web permintaan dalam Microsoft Internet Information Layanan (IIS) 6.0.

Bagaimana Web otentikasi bekerja

Web otentikasi adalah komunikasi antara Web browser dan Web server yang melibatkan sejumlah kecil Hypertext Transfer Protocol (HTTP) header dan pesan kesalahan.

Aliran komunikasi sebagai berikut:

1. Web browser membuat permintaan, seperti HTTP-GET.
2. Web server melakukan pemeriksaan otentikasi. Jika ini adalah tidak berhasil karena otentikasi diperlukan, server menanggapi dengan pesan galat yang serupa dengan berikut:
   Anda tidak berwenang untuk melihat halaman ini
   
   Anda tidak memiliki izin untuk melihat ini direktori atau halaman menggunakan kredensial yang Anda masukkan.
   Informasi disertakan dalam pesan ini Web browser dapat menggunakan untuk kembali permintaan sebagai permintaan otentikasi.
3. Web browser menggunakan respon server untuk membangun permintaan baru yang berisi informasi otentikasi.
4. Web server melakukan pemeriksaan otentikasi. Jika Periksa apakah sukses, Web server mengirimkan data yang awalnya diminta kembali ke Web browser.

Metode otentikasi

Catatan: Dengan beberapa metode otentikasi berikut, Anda harus menggunakan drive yang Anda telah diformat dengan NTFS sistem file karena diformat NTFS drive mempertahankan tingkat keamanan.

IIS mendukung metode otentikasi Web berikut.

Otentikasi anonim

IIS menciptakan IUSR_ComputerNameaccount (di mana ComputerName adalah nama server yang menjalankan IIS) untuk mengotentikasi pengguna anonim ketika mereka meminta Konten web. Account ini memberikan pengguna hak untuk logon secara lokal. Kamu bisa me-reset akses pengguna anonim untuk menggunakan setiap account Windows yang berlaku.

Catatan: Anda dapat mengatur account anonim yang berbeda untuk Web yang berbeda situs, direktori virtual atau fisik direktori dan file.

Jika Windows Server 2003 berbasis komputer adalah sebuah server yang berdiri sendiri, IUSR_ComputerName account yang ada di server lokal. Jika server merupakan sebuah kontroler domain, IUSR_ComputerName rekening didefinisikan untuk domain.

Otentikasi dasar

Menggunakan otentikasi dasar untuk membatasi akses ke file pada Diformat NTFS Web server. Dengan otentikasi dasar, pengguna harus memasukkan mandat, dan akses didasarkan pada ID pengguna. ID pengguna dan sandi Dikirim di seluruh jaringan dalam bentuk teks.

Untuk menggunakan otentikasi dasar, memberi setiap pengguna hak untuk logon secara lokal, dan untuk membuat administrasi lebih mudah, menambahkan setiap pengguna ke grup yang memiliki akses ke file yang diperlukan.

Catatan: Karena kredensial pengguna dikodekan dengan Base64 pengkodean tapi mereka tidak terenkripsi ketika mereka ditransmisikan melalui jaringan, dasar otentikasi dianggap tidak aman bentuk otentikasi.

Windows otentikasi Terpadu

Otentikasi Terpadu Windows lebih aman daripada dasar otentikasi, dan fungsi baik di intranet lingkungan di mana pengguna memiliki account domain Windows. Terintegrasi Windows otentikasi, browser mencoba menggunakan kredensial pengguna saat ini dari domain logon, dan jika ini usaha gagal, pengguna diminta untuk memasukkan nama pengguna dan sandi. Jika Anda menggunakan Windows otentikasi terpadu, password pengguna adalah tidak dikirim ke server. Jika pengguna telah masuk ke komputer lokal sebagai domain pengguna, pengguna tidak perlu memverifikasi kembali ketika pengguna mengakses komputer jaringan dalam domain tersebut. Perhatikan bahwa Anda harus menggunakan Microsoft Internet Explorer 2.0 atau sebagai browser Web Anda jika Anda menggunakan Windows Otentikasi terpadu.

Catatan: Anda tidak dapat menggunakan Windows otentikasi Terpadu melalui proxy server.

Digest otentikasi

Digest otentikasi alamat banyak kelemahan dasar otentikasi. Sandi tidak dikirim dalam bentuk teks ketika Anda menggunakan digest otentikasi. Selain itu, Anda dapat menggunakan otentikasi digest melalui proxy server. Digest otentikasi menggunakan mekanisme tantangan/tanggapan (yang terintegrasi Windows otentikasi menggunakan) di mana sandi akan dikirim format terenkripsi. Untuk menggunakan otentikasi ringkasan, perhatikan berikut Persyaratan:

• Pengguna dan IIS server harus menjadi anggota, atau dipercaya oleh, domain yang sama.
• Pengguna harus memiliki account pengguna Windows sah yang disimpan dalam Active Directory pada domain controller.
• Domain harus menggunakan Microsoft Windows 2000-atau-kemudian kontroler domain.
• Anda harus menginstal file IISSuba.dll pada domain controller. File ini disalin secara otomatis selama penataan Windows 2000 atau Penataan Windows Server 2003.
• Anda harus mengkonfigurasi semua account pengguna dengan Menyimpan password menggunakan enkripsi reversibel pilihan account yang dipilih. Pada Pilih opsi account ini, harus reset password atau kembali masuk.

Catatan: Anda harus menggunakan Microsoft Internet Explorer 5.0 atau kemudian sebagai Anda Browser Web jika Anda menggunakan otentikasi digest.

.NET paspor otentikasi

Microsoft.NET paspor adalah otentikasi pengguna layanan yang izin masuk keamanan, yang menyediakan pengguna dengan aman akses ke.NET paspor-enabled situs Web dan layanan. .NET paspor diaktifkan situs bergantung pada.NET paspor server pusat untuk mengotentikasi pengguna. Namun, server pusat tidak otorisasi atau menolak akses pengguna tertentu ke individu.NET paspor-enabled situs. Ini adalah tanggung jawab Web situs untuk mengontrol pengguna izin. Ketika Anda memilih opsi ini, permintaan untuk IIS harus berisi berlaku.NET paspor kredensial di kedua string permintaan atau dalam cookie. Jika IIS tidak mendeteksi.NET paspor kredensial, permintaan yang dialihkan ke.NET paspor halaman logon.

Pemetaan sertifikat klien

Pemetaan sertifikat klien adalah sebuah metode di mana pemetaan dibuat antara sertifikat dan account pengguna. Dalam model ini, pengguna menyajikan sertifikat dan sistem melihat pemetaan untuk menentukan account pengguna yang harus logon. Anda dapat memetakan sertifikat untuk account pengguna Windows di salah satu dua cara:

• Dengan menggunakan Active Directory.
  
  -atau-
• Dengan menggunakan aturan yang ditetapkan dalam IIS.

Untuk informasi tambahan mengenai bagaimana memetakan klien sertifikat untuk account pengguna, mencari "Klien sertifikat pemetaan" di IIS dokumentasi. Jika Anda memiliki IIS yang diinstal, Anda dapat mengakses file bantuan oleh salah satu metode berikut:

• Klik kanan setiap node di Internet Service Manager, dan kemudian Klik Bantuan.
  
  -atau-
• Jalankan Windows Explorer, Cari keras disk: \Windows\Help folder, dan kemudian buka Lismmc.chm.

Anda dapat mengkonfigurasi setiap metode otentikasi untuk kontrol akses ke item berikut di IIS server:

• Semua konten Web yang di-host di IIS server.
• Setiap situs Web yang di-host di IIS server.
• Direktori virtual individu atau direktori fisik yang berada di situs Web.
• Setiap halaman atau file yang ada di Web situs.

Cara mengkonfigurasi otentikasi situs Web IIS

1. Menggunakan account administratif untuk masuk ke Web server.
2. Mulai IIS manajer atau buka IIS snap-in.
3. MemperluasSERVER_NAME, di manaSERVER_NAME nama server, dan kemudian memperluas Situs web.
4. Gunakan salah satu metode berikut (yang sesuai untuk Anda situasi), lalu klik Properti:
   • Untuk mengkonfigurasi otentikasi untuk semua konten Web yang host pada IIS server, klik kanan Situs web.
   • Untuk mengkonfigurasi otentikasi untuk setiap situs Web, Klik kanan situs Web yang Anda inginkan.
   • Untuk mengkonfigurasi otentikasi untuk direktori virtual atau direktori fisik di situs Web, klik situs Web yang Anda inginkan, dan kemudian Klik kanan direktori yang Anda inginkan, seperti _vti_pvt.
   • Untuk mengkonfigurasi otentikasi untuk setiap halaman atau file di situs Web, klik situs Web yang Anda inginkan, klik folder yang berisi file atau halaman yang Anda inginkan, dan kemudian klik kanan file atau Halaman yang Anda inginkan.
5. Dalam ItemNameProperti dialog kotak (di mana ItemName adalah nama item yang Anda pilih), klik Direktori Keamanan atau File keamanan tab (sebagai sesuai).
6. Di bawah Akses anonim dan otentikasi kontrol, klik Mengedit.
7. Klik untuk memilih Akses anonim Periksa kotak untuk mengaktifkan akses anonim. Untuk menonaktifkan akses anonim, klik untuk mengosongkan kotak centang ini.
   
   Catatan: Jika Anda menonaktifkan akses anonim, Anda harus mengkonfigurasi beberapa lainnya bentuk akses dikonfirmasi.
   
   Untuk mengubah account yang digunakan untuk anonim akses ke sumber daya ini, klik People, klik account pengguna yang ingin Anda gunakan, dan kemudian klikOke.
8. Di bawah Akses dikonfirmasi, klik untuk Pilih Otentikasi Terpadu Windows centang kotak jika Anda ingin menggunakan Windows otentikasi terpadu.
   
   Catatan: Metode otentikasi ini sebelumnya dikenal sebagai Microsoft Windows NT tantangan/tanggapan atau NT LAN Manager (NTLM).
9. Klik untuk memilih Digest otentikasi Windows Server domain kotak centang Jika Anda ingin menggunakan digest otentikasi. Ketika Anda menerima pesan berikut, klikYa:
   Digest otentikasi hanya bekerja dengan account domain direktori aktif. Untuk informasi lebih lanjut tentang konfigurasi Account domain direktori aktif untuk membolehkan otentikasi digest, klik Help.
   
   Apakah Anda yakin Anda ingin melanjutkan?
   Ketik nama alam di The Alam kotak.
   
   Catatan: Anda harus mengkonfigurasi account pengguna dengan Toko sandi menggunakan enkripsi reversibel pilihan account yang dipilih.
10. Klik untuk memilih Otentikasi dasar (sandi Dikirim dalam bentuk teks) kotak centang Jika Anda ingin menggunakan dasar otentikasi. Ketika Anda menerima pesan berikut, klikYa:
    Anda memiliki pilihan otentikasi hasil yang dipilih dalam password yang ditransmisikan melalui jaringan tanpa data enkripsi. Seseorang berusaha untuk berkompromi keamanan sistem Anda dapat menggunakan Penganalisa protokol untuk memeriksa sandi pengguna selama proses otentikasi. Untuk lebih rinci tentang otentikasi pengguna, baca Bantuan online. Peringatan ini tidak berlaku untuk HTTPS (atau SSL) sambungan.
    
    Apakah Anda yakin Anda ingin untuk melanjutkan?
    1. Untuk menentukan domain yang digunakan untuk mengotentikasi pengguna yang menggunakan otentikasi dasar, jenis domain yang Anda inginkan dalam Default domain kotak.
    2. Anda juga memiliki pilihan untuk memasukkan nilai dalam Alam kotak saat ini.
11. Klik untuk memilih .NET paspor otentikasi kotak centang Jika Anda ingin menggunakan.NET paspor otentikasi.
    
    Catatan: Ketika Anda memilih opsi ini, metode otentikasi lain tidak tersedia.
12. Klik Oke, dan kemudian diNama item Properti kotak dialog, Klik Oke. Jika Warisan menimpa dialog membuka kotak, ikuti langkah berikut:
    1. Klik Pilih semua untuk menerapkan yang baru pengaturan otentikasi ke semua file atau folder yang terletak di item yang Anda berubah.
    2. Klik Oke.
13. Berhenti IIS manajer atau tutup IIS snap-in.

Untuk informasi tambahan tentang konfigurasi IIS Web situs otentikasi pada Windows Server 2003, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Untuk informasi tambahan tentang cara memecahkan masalah Web server di Windows Server 2003, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: