COMO: Configurar autenticação de serviços de informações da Internet no Windows Server 2003

Este artigo passo a passo descreve como configurar autenticação de solicitações com base na Web no Microsoft Internet Information Services (IIS) 6.0.

Como funciona a autenticação da Web

A autenticação da Web é uma comunicação entre o navegador da Web e o servidor Web que envolve um pequeno número de cabeçalhos HTTP (Hypertext Transfer Protocol) e mensagens de erro.

O fluxo de comunicação é da seguinte maneira:

1. O navegador faz uma solicitação, como HTTP-GET.
2. O servidor da Web executa uma verificação de autenticação. Se isso não for bem-sucedido pois a autenticação é necessária, o servidor responderá com uma mensagem de erro semelhante à seguinte:
   Você não está autorizado a exibir esta página
   
   Você não tem permissão para exibir este diretório ou esta página usando as credenciais fornecidas.
   Informações são incluídas nesta mensagem que o navegador da Web pode usar para reenviar a solicitação como uma solicitação autenticada.
3. O navegador da Web usa a resposta do servidor para construir uma nova solicitação que contém informações de autenticação.
4. O servidor da Web executa uma verificação de autenticação. Se a verificação tiver êxito, o servidor Web envia os dados que foi inicialmente solicitados novamente para o navegador da Web.

Métodos de autenticação

Observação : com alguns dos seguintes métodos de autenticação, você deve usar unidades que você tenha formatado com o sistema de arquivos NTFS como unidades formatadas para NTFS mantêm o nível mais alto de segurança.

IIS oferece suporte aos seguintes métodos de autenticação da Web.

Autenticação anônima

O IIS cria a IUSR_ ComputerName conta (onde ComputerName é o nome do servidor que está executando o IIS) para autenticar usuários anônimos quando eles solicitam conteúdo da Web. Essa conta concede ao usuário o direito de logon localmente. Você pode redefinir o acesso de usuário anônimo para usar qualquer conta válida do Windows.

Observação : você pode configurar contas anônimas diferentes para diferentes sites, diretórios virtuais ou diretórios físicos e arquivos.

Se o computador baseado no Windows Server 2003 for um servidor autônomo, a conta IUSR_ ComputerName está no servidor local. Se o servidor for um controlador de domínio, a conta IUSR_ ComputerName está definida para o domínio.

Autenticação básica

Use a autenticação básica para restringir o acesso a arquivos em um servidor Web formatado com NTFS. Com a autenticação básica, o usuário deve inserir credenciais e acesso baseia-se na identificação de usuário. ID de usuário e a senha são enviados pela rede em texto não criptografado.

Para usar a autenticação básica, conceda a cada usuário o direito de fazer logon localmente e facilitar administração, adicionar cada usuário a um grupo que tem acesso para os arquivos necessários.

Observação : como as credenciais do usuário são codificadas com codificação Base64 mas eles não são criptografados quando eles forem transmitidos pela rede, a autenticação básica não é considerada uma forma segura de autenticação.

Autenticação integrada do Windows

Autenticação integrada do Windows é mais segura do que a autenticação básica e ele funciona bem em um ambiente de intranet onde os usuários têm contas de domínio do Windows. Na autenticação integrada do Windows, o navegador tenta usar credenciais do usuário atual de um logon de domínio e se essa tentativa for malsucedida, o usuário é solicitado a digitar um nome de usuário e uma senha. Se você usar autenticação integrada do Windows, a senha do usuário não é transmitida para o servidor. Se o usuário tem feito logon no computador local como um usuário de domínio, o usuário não tem autenticar novamente quando o usuário acessa um computador de rede nesse domínio. Observe que você deve usar o Microsoft Internet Explorer 2.0 ou posterior como seu navegador da Web se você estiver usando autenticação integrada do Windows.

Observação : Não É possível usar autenticação integrada do Windows por meio de um servidor proxy.

Autenticação Digest

Endereços de autenticação Digest muitas das falhas de autenticação básica. A senha não é enviada em texto não criptografado quando você usa a autenticação Digest. Além disso, você pode usar a autenticação Digest por meio de um servidor proxy. A autenticação Digest usa um mecanismo de desafio/resposta (que integrada do Windows usa autenticação) onde a senha é enviada em um formato criptografado. Para usar a autenticação Digest, observe os seguintes requisitos:

• O usuário e o servidor IIS devem ser membros do ou confiável, para o mesmo domínio.
• Os usuários devem ter uma conta de usuário válida do Windows armazenada no Active Directory no controlador de domínio.
• O domínio deve usar um Microsoft Windows 2000-ou-posterior controlador de domínio.
• Você deve instalar o arquivo IISSuba.dll no controlador de domínio. Este arquivo é copiado automaticamente durante a instalação do Windows 2000 ou o programa de instalação do Windows Server 2003.
• Você deve configurar todas as contas de usuário com a opção de conta armazena senhas usando criptografia reversível selecionada. Para selecionar esta opção de conta, a senha deve ser redefinida ou reinserida.

Observação : você deve usar o Microsoft Internet Explorer 5.0 ou posterior como seu navegador da Web se você estiver usando a autenticação Digest.

Autenticação do passport .NET

O Microsoft .NET passport é um serviço de autenticação do usuário que permita única entrar segurança, que fornece aos usuários acesso com segurança avançada para sites habilitados pelo .NET Passport e serviços. Os sites habilitados no passport .NET dependem do servidor central do Passport .NET para autenticar usuários. No entanto, o servidor central não autorizar ou negar acesso de um usuário específico a sites individuais habilitados pelo .NET Passport. É responsabilidade do site para controlar as permissões dos usuários. Quando você seleciona essa opção, as solicitações para o IIS devem conter credenciais válidas do .NET Passport em seqüência de consulta ou o cookie. Se o IIS não detectar as credenciais do Passport, solicitações são redirecionadas para a página de logon do Passport.

Mapeamento de certificado de cliente

Mapeamento de certificado de cliente é um método onde um mapeamento é criado entre um certificado e uma conta de usuário. Nesse modelo, um usuário apresenta um certificado e o sistema examina o mapeamento para determinar qual conta de usuário deve ser conectada. Você pode mapear um certificado para uma conta de usuário Windows em uma destas duas maneiras:

• Usando o Active Directory.
  
  - ou -
• Usando regras que são definidas no IIS.

Para obter informações adicionais sobre como mapear certificados de cliente para contas de usuário, procure em "Cliente mapeamento de certificado" no IIS documentação. Se você tiver instalado o IIS, você pode acessar os arquivos de Ajuda por um dos seguintes métodos:

• Clique com o botão direito do mouse qualquer nó no Gerenciador de serviços de Internet e, em seguida, clique em Ajuda .
  
  - ou -
• Inicie o Windows Explorer, localize o hard disk: pasta \Windows\Help e, em seguida, abrir Lismmc.chm.

Você pode configurar cada método de autenticação para controlar o acesso aos seguintes itens no servidor IIS:

• Todo o conteúdo da Web que está hospedado no IIS servidor.
• Sites individuais que são hospedados no IIS servidor.
• Diretórios virtuais individuais ou diretórios físicos que estão em um site da Web.
• Páginas individuais ou arquivos que estão em um site da Web.

Como configurar autenticação de site do IIS

1. Usar uma conta administrativa para efetuar a Web servidor.
2. Inicie o Gerenciador do IIS ou abra o snap-in do IIS.
3. Expanda Server_name, onde Server_name é o nome do servidor e, em seguida, expanda Sites .
4. Use um dos métodos a seguir (conforme apropriado para sua situação) e, em seguida, clique em Propriedades :
   • Para configurar a autenticação para todo o conteúdo da Web que está hospedado no servidor IIS, clique com o botão direito do mouse Sites .
   • Para configurar a autenticação de um site individual, clique o com botão direito mouse o site da Web que você deseja.
   • Para configurar a autenticação para um diretório virtual ou um diretório físico em um site da Web, clique no site que deseja e, em seguida, clique com o botão direito do mouse o diretório que você deseja, como _vti_pvt .
   • Para configurar a autenticação para uma página individual ou um arquivo em um site da Web, clique no site que você deseja, clique na pasta que contém o arquivo ou a página que você deseja e, em seguida, clique com o botão direito do mouse no arquivo ou a página que você deseja.
5. No ItemName propriedades caixa de diálogo (onde ItemName é o nome do item que você selecionou), clique a Segurança de diretório ou na guia Segurança de arquivo (conforme apropriado).
6. Em Anonymous access and authentication control , clique em Editar .
7. Clique para selecionar a caixa de seleção acesso anônimo para ativar acesso anônimo. Para desativar o acesso anônimo, clique para desmarcar essa caixa de seleção.
   
   Observação : se você desativar o acesso anônimo, você deve configurar alguma outra forma de acesso autenticado.
   
   Para alterar a conta que é usada para acesso anônimo a este recurso, clique em Procurar , clique na que você deseja usar conta de usuário e, em seguida, clique em OK .
8. Em acesso autenticado , clique para selecionar a caixa de seleção autenticação integrada do Windows se você desejar usar autenticação integrada do Windows.
   
   Observação : esse método de autenticação era conhecido anteriormente como o Microsoft Windows NT Challenge/Response ou NTLM (NT LAN Manager).
9. Clique para selecionar a caixa de seleção A autenticação Digest para servidores de domínio do Windows se você desejar usar a autenticação Digest. Quando você receber a seguinte mensagem, clique em Sim :
   A autenticação Digest funciona somente com contas de domínio do Active Directory. Para obter mais informações sobre como configurar contas de domínio do Active Directory para permitir a autenticação Digest, clique em Ajuda.
   
   Tem certeza de que deseja continuar?
   Digite o nome de território na caixa território .
   
   Observação : você deve configurar contas de usuário com a opção de conta armazena senhas usando criptografia reversível selecionada.
10. Clique para selecionar o autenticação básica (a senha é enviada em texto não criptografado) caixa de seleção se desejar usar a autenticação básica. Quando você receber a seguinte mensagem, clique em Sim :
    A opção de autenticação selecionada resulta na transmissão pela rede sem criptografia de dados de senhas. Alguém que esteja tentando comprometer a segurança do sistema poderá usar um analisador de protocolo para examinar senhas de usuário durante o processo de autenticação. Para obter mais detalhes sobre autenticação de usuário, consulte a Ajuda on-line. Este aviso não se aplica a conexões HTTPS (ou SSL).
    
    Tem certeza de que deseja continuar?
    1. Para especificar um domínio com o qual autenticar os usuários que estão usando a autenticação básica, digite o domínio que deseja na caixa domínio padrão .
    2. Você também tem a opção Inserir um valor na caixa território neste momento.
11. Clique para selecionar o Passport autenticação caixa de seleção se desejar usar o .NET Passport autenticação.
    
    Observação : quando você seleciona essa opção, os outros métodos de autenticação são não está disponíveis.
12. Clique em OK e, em seguida, na caixa de diálogo Propriedades de Item Name, clique em OK . Se a caixa de diálogo Substituições de herança é aberta, siga estas etapas:
    1. Clique em Selecionar tudo para aplicar as novas configurações de autenticação para todos os arquivos ou pastas que estão localizados no item que você tenha alterado.
    2. Clique em OK .
13. Feche o Gerenciador do IIS ou feche o snap-in do IIS.

Para obter informações adicionais sobre como configurar autenticação de site Web do IIS no Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter informações adicionais sobre como solucionar problemas de um servidor Web no Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: