COMO: Configurar autenticação de Web de serviços de informação Internet no Windows Server 2003

Este artigo passo a passo descreve como configurar a autenticação para pedidos baseados na Web no Microsoft (IIS) 6.0.

Como funciona a autenticação de Web

A autenticação Web é uma comunicação entre o browser e o servidor Web que envolve um pequeno número de cabeçalhos de protocolo de transferência de hipertexto (HTTP, Hypertext Transfer Protocol) e mensagens de erro.

O fluxo de comunicação é:

1. O browser efectua um pedido, tal como HTTP-GET.
2. O servidor Web efectua uma verificação de autenticação. Se não for bem sucedida porque é necessária autenticação, o servidor responde com uma mensagem de erro semelhante à seguinte:
   Não está autorizado a ver esta página
   
   Não tem permissão para visualizar este directório ou página utilizando as credenciais fornecidas.
   Informações estão incluídas nesta mensagem pode utilizar o browser para voltar a submeter o pedido como um pedido autenticado.
3. O browser utiliza a resposta do servidor para criar um novo pedido contém informações de autenticação.
4. O servidor Web efectua uma verificação de autenticação. Se a verificação tiver êxito, o servidor Web envia os dados que inicialmente foi pedidos para o Web browser.

Métodos de autenticação

Nota : com alguns dos seguintes métodos de autenticação, tem de utilizar unidades formatadas com o sistema de ficheiros NTFS porque unidades formatadas em NTFS e manter o nível mais elevado de segurança.

O IIS suporta os seguintes métodos de autenticação Web.

Autenticação anónima

O IIS cria IUSR_ ComputerName conta (onde ComputerName é o nome do servidor que está a executar o IIS) para autenticar utilizadores anónimos quando pedidas conteúdo da Web. Esta conta concede ao utilizador o direito de iniciar sessão localmente. Pode repor o acesso de utilizador anónimo para utilizar qualquer conta Windows válida.

Nota : É possível configurar diferentes contas anónimas para diferentes Web sites, directórios virtuais ou directórios físicos e ficheiros.

Se o computador baseado no Windows Server 2003 for um servidor autónomo, a conta IUSR_ ComputerName é no servidor local. Se o servidor for um controlador de domínio, a conta IUSR_ ComputerName é definida para o domínio.

Autenticação básica

Utilize a autenticação básica para restringir o acesso a ficheiros num servidor Web formatadas em NTFS. Com a autenticação básica, o utilizador tem de introduzir credenciais e acesso baseia-se o ID do utilizador. ID de utilizador e palavra-passe são enviadas através da rede em texto simples.

Para utilizar a autenticação base, conceda cada utilizador o direito de iniciar sessão localmente e facilitar administração, adicionar cada utilizador a um grupo que tenha acesso aos ficheiros necessários.

Nota : uma vez que as credenciais de utilizador são codificadas com codificação Base64 mas estes não serão encriptados quando estes forem transmitidos através da rede, a autenticação básica não é considerada uma forma segura de autenticação.

Autenticação integrada do Windows

Autenticação integrada do Windows é mais segura do que a autenticação básica e funciona bem num ambiente de intranet onde os utilizadores têm contas de domínio do Windows. Na autenticação integrada do Windows, o browser tenta utilizar credenciais do utilizador actual a partir de um início de sessão no domínio e se esta tentativa não tiver êxito, é pedido ao utilizador para introduzir um nome de utilizador e palavra-passe. Se utilizar a autenticação integrada do Windows, a palavra-passe do utilizador não é transmitida para o servidor. Se o utilizador tem sessão iniciada no computador local como utilizador de domínio, o utilizador não tem de autenticar novamente quando o utilizador acede a um computador de rede nesse domínio. Nota que tem de utilizar o Microsoft Internet Explorer 2.0 ou posterior como browser se estiver a utilizar autenticação integrada do Windows.

Nota : Não É possível utilizar a autenticação integrada do Windows através de um servidor proxy.

A autenticação condensada

A autenticação condensada resolve muitos dos fracos da autenticação base. A palavra-passe não é enviada em texto simples quando utiliza autenticação condensada. Além disso, pode utilizar a autenticação condensada através de um servidor proxy. A autenticação condensada utiliza um mecanismo pergunta/resposta (que integrada do Windows utiliza autenticação) em que a palavra-passe é enviada em formato encriptado. Para utilizar a autenticação condensada, tenha em atenção os seguintes requisitos:

• O utilizador e o servidor IIS tem de ser membros ou fidedigno, ao mesmo domínio.
• Os utilizadores têm de ter uma conta de utilizador do Windows válida armazenada no Active Directory no controlador de domínio.
• O domínio tem de utilizar um Microsoft Windows 2000-ou-posterior controlador de domínio.
• Tem de instalar o ficheiro IISSuba.dll no controlador de domínio. Este ficheiro é copiado automaticamente durante o programa de configuração do Windows 2000 ou o programa de configuração do Windows Server 2003.
• Tem de configurar todas as contas de utilizador com a opção de conta Guardar palavra-passe utilizando encriptação reversível seleccionada. Para seleccionar esta opção de conta, a palavra-passe tem de ser reposta ou re-entered.

Nota : É necessário utilizar Microsoft Internet Explorer 5.0 ou posterior como browser Web se estiver a utilizar autenticação condensada.

Autenticação .NET passport

Microsoft .NET passport é um serviço de autenticação de utilizador que permite único-segurança de sessão, que fornece aos utilizadores acesso seguro aos Web sites .NET Passport e serviços. .NET Passport sites baseiam-se no servidor central do .NET Passport para autenticar utilizadores. No entanto, o servidor central não autorizar ou negar acesso de um utilizador específico a sites individuais activados por .NET Passport. É da responsabilidade do Web site controlar permissões de utilizadores. Quando selecciona esta opção, pedidos para o IIS devem conter credenciais de .NET Passport válidas na cadeia de consulta ou no cookie. Se o IIS não detectar credenciais de .NET Passport, os pedidos são redireccionados para a página de início de sessão do .NET Passport.

Mapeamento de certificados de cliente

Mapeamento de certificados de cliente é um método em que um mapeamento é criado entre um certificado e uma conta de utilizador. Neste modelo, um utilizador apresenta um certificado e o sistema procura o mapeamento para determinar a conta de utilizador deve ter sessão iniciada. É possível mapear um certificado para uma conta de utilizador do Windows de uma de duas formas:

• Utilizando o Active Directory.
  
  - ou -
• Utilizando regras que são definidas no IIS.

Para obter informações adicionais sobre como mapear certificados de cliente para contas de utilizador, procure no "Cliente mapeamento de certificados" in do IIS de documentação. Se tiver instalado o IIS, pode aceder os ficheiros de ajuda através de um dos seguintes métodos:

• Clique com o botão direito do rato qualquer nó no ' Gerenciador de serviços de Internet ' e, em seguida, clique em Ajuda .
  
  - ou -
• Inicie o Explorador do Windows, localize o hard disk: \Windows\Help pasta e, em seguida, abrir Lismmc.chm.

Pode configurar cada método de autenticação para controlar o acesso aos seguintes itens no servidor de IIS:

• Todo o conteúdo Web hospedado no IIS servidor.
• Web sites individuais hospedados no IIS servidor.
• Os directórios virtuais individuais ou directórios físicos existentes num Web site.
• Páginas individuais ou ficheiros que estão num Web site.

Como configurar a autenticação de Web Site do IIS

1. Utilizar uma conta administrativa para iniciar sessão na Web servidor.
2. Inicie O Gestor de IIS ou abra o snap-in do IIS.
3. Expanda Server_name, em que Server_name é o nome do servidor e, em seguida, expanda Web Sites .
4. Utilize um dos seguintes métodos (conforme adequado à situação) e, em seguida, clique em Propriedades :
   • Para configurar a autenticação para todo o conteúdo Web hospedado no servidor de IIS, clique com o botão direito do rato Web Sites .
   • Para configurar a autenticação para um Web site individual, clique com o botão direito do rato no Web site que pretende.
   • Para configurar a autenticação para um directório virtual ou um directório físico de um Web site, clique no Web site que pretende e clique com o botão direito do rato no directório que pretende, tal como _vti_pvt .
   • Para configurar a autenticação para uma página individual ou um ficheiro num Web site, clique no Web site que pretende, clique na pasta que contém o ficheiro ou página que pretende e clique com o botão direito do rato no ficheiro ou página que pretende.
5. No ItemName propriedades caixa de diálogo (onde ItemName é o nome do item que seleccionou), clique a Segurança de directórios ou no separador Segurança de ficheiros (conforme for apropriado).
6. Em controlo de acesso anónimo e autenticação , clique em Editar .
7. Clique para seleccionar a caixa de verificação acesso anónimo para activar o acesso anónimo. Para desactivar o acesso anónimo, clique para desmarcar esta caixa de verificação.
   
   Nota : Se desactivar o acesso anónimo, tem de configurar outra forma de acesso autenticado.
   
   Para alterar a conta que é utilizada para acesso anónimo a este recurso, clique em Procurar , clique na conta de utilizador que pretende utilizar e, em seguida, clique em OK .
8. Em acesso autenticado , clique para seleccionar a caixa de verificação autenticação integrada do Windows , se pretender utilizar a autenticação integrada do Windows.
   
   Nota : Este método de autenticação era inicialmente conhecido por Microsoft Windows NT Challenge/Response ou NT LAN Manager (NTLM).
9. Clique para seleccionar a caixa de verificação autenticação de texto implícita para servidores de domínio do Windows , se pretender utilizar a autenticação condensada. Quando receber a seguinte mensagem, clique em Sim :
   A autenticação condensada só funciona com contas de domínio do Active Directory. Para mais informações sobre como configurar contas de domínio do Active Directory para permitir a autenticação condensada, clique em Ajuda.
   
   Tem a certeza de que deseja continuar?
   Escreva o nome de domínio na caixa domínio .
   
   Nota : tem de configurar contas de utilizador com a opção de conta de Guardar a palavra-passe utilizando encriptação reversível seleccionada.
10. Clique para seleccionar o autenticação básica (a palavra-passe é enviada em texto simples) caixa de verificação se pretender utilizar a autenticação base. Quando receber a seguinte mensagem, clique em Sim :
    A opção de autenticação seleccionada resulta na transmissão através da rede sem encriptação de dados de palavras-passe. Quem tentar comprometer a segurança do sistema pode usar um analisador de protocolos para examinar as palavras-passe de utilizador durante o processo de autenticação. Para mais detalhes sobre a autenticação de utilizador, consulte a ajuda online. Este aviso não se aplica a ligações de HTTPS (ou SSL).
    
    Tem a certeza de que pretende continuar?
    1. Para especificar um domínio com o qual pretende autenticar os utilizadores que estiverem a utilizar a autenticação básica, escreva o domínio que pretende na caixa domínio predefinido .
    2. Tem também a opção para introduzir um valor na caixa domínio neste momento.
11. Clique para seleccionar o .NET Passport autenticação caixa de verificação se pretender utilizar o .NET Passport autenticação.
    
    Nota : Quando selecciona esta opção, os outros métodos de autenticação ficam indisponíveis.
12. Clique em OK e, em seguida, na caixa de diálogo Propriedades de Item Name, clique em OK . Se abrir a caixa de diálogo Heranças a ignorar , siga estes passos:
    1. Clique em Seleccionar tudo para aplicar as novas definições de autenticação a todos os ficheiros ou pastas que estão localizadas no item que tenha alterado.
    2. Clique em OK .
13. Saia do Gestor de IIS ou feche o snap-in do IIS.

Para obter informações adicionais sobre como configurar autenticação de sites da Web do IIS no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter informações adicionais sobre como resolver problemas num servidor Web no Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: