Jak nakonfigurovat Web Internetová informační služba ověřování v systému Windows 2000

Důrazně doporučujeme, aby všichni uživatelé upgradovali na Internetovou informační službu (IIS) verze 7.0 běžící na systému Microsoft Windows Server 2008. Služba IIS 7.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením služby IIS naleznete na následujícím webu společnosti Microsoft:Další informace o službě IIS 7.0 naleznete na následujícím webu společnosti Microsoft:
Tento článek se týká systému Windows 2000. Podpora pro systém Windows 2000 končí 13. července 2010. Centrum řešení ukončení podpory systému Windows 2000 je výchozí bod pro plánování strategie migrace ze systému Windows 2000. Další informace naleznete v tématu Zásady životního cyklu podpory společnosti Microsoft.

Souhrn

Tento podrobný článek popisuje konfiguraci ověřování pro webové požadavky v Internetová informační služba (IIS) 5.0.

Jak funguje ověřování webu

Webové ověřování je komunikace mezi webový prohlížeč a webový server, který obsahuje malý počet záhlaví Hyper Text Transfer Protocol (HTTP) a chybové zprávy.

Průběh komunikace je:

  1. Webový prohlížeč odešle žádost, například HTTP GET.
  2. Na webovém serveru provádí kontrolu ověření. Pokud to není úspěšné protože je vyžadováno ověřování, server odešle zpět chybová zpráva podobná následující:

    Nemáte oprávnění k zobrazení této stránky.

    Nemáte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí zadaná pověření.
    Informace je zahrnuta v této zprávě, webového prohlížeče můžete znovu odeslat požadavek jako ověřený požadavek.
  3. Webový prohlížeč použije k vytvoření nového požadavku, který obsahuje informace o ověřování odpověď serveru.
  4. Na webovém serveru provádí kontrolu ověření. Pokud kontrola proběhne úspěšně, webový server odešle data, která původně požadovali zpět do webového prohlížeče.

Metody ověřování

Poznámka: některé z následujících metod ověřování, je nutné použít jednotky, které jsou formátovány pomocí systému souborů NTFS protože jednotek naformátovaných v systému souborů NTFS udržovat nejvyšší úroveň zabezpečení.

Služba IIS podporuje pět následující metody ověřování webových:

Anonymní ověřování

Služba IIS vytvoří účet IUSR_název_počítače (kde název_počítače je název počítače) k ověřování anonymních uživatelů při požadavku webového obsahu. Tento účet poskytuje uživateli právo přihlásit se místně. Anonymní uživatelský přístup použít libovolný platný účet systému Windows můžete obnovit.

Poznámka: můžete nastavit různé anonymní účty pro různé webové servery, virtuální adresáře nebo fyzické adresáře a soubory.

Je-li počítač se systémem Windows 2000 jako samostatný server, je účet IUSR_NázevPočítače na místním serveru. Pokud je server řadičem domény, účet IUSR_název_počítače je definována pro doménu.

Základní ověřování

Chcete-li omezit přístup k souborům na serveru WWW ve formátu NTFS použijte základní ověřování. Pomocí základního ověřování musí uživatel zadat pověření a přístup je založen na ID uživatele.

Chcete-li použít základní ověřování, každému uživateli udělte právo přihlásit se místně a k usnadnění správy přidat ho do skupiny, která má přístup k potřebné soubory.

Poznámka: vzhledem k tomu, že pověření uživatele jsou kódovány pomocí kódování Base64, ale jejich nejsou šifrována při přenosu sítí, základní ověřování je považován za zabezpečený způsob ověření.

Integrované ověřování systému Windows

Integrované ověřování systému Windows je bezpečnější než základní ověřování a funguje dobře v prostředí sítě Intranet, kde mají uživatelé účty domény systému Windows. V integrované ověřování systému Windows v prohlížeči pokusí pomocí pověření aktuálního uživatele z domény přihlášení a pokud se to nezdaří, bude uživatel vyzván k zadání uživatelského jména a hesla. Pokud používáte integrované ověřování systému Windows, není přenášena na server heslo uživatele. Pokud má uživatel přihlášen k místnímu počítači jako uživatel domény, není nutné znovu ověřit při přístupu uživatele k počítači v doméně uživatele.

Poznámka: nelze použít integrované ověřování systému Windows prostřednictvím serveru proxy.

Ověřování algoritmem Digest

Ověřování algoritmem Digest řeší mnohé nedostatky základního ověřování. Při použití ověřování algoritmem digest, není heslo odesláno jako prostý text. Kromě toho můžete pomocí ověřování algoritmem digest prostřednictvím serveru proxy. Ověřování algoritmem Digest používá mechanismus výzvy a odezvy (integrovaný používá ověřování systému Windows) Pokud je heslo odesláno v šifrovaném formátu. Použití ověřování algoritmem digest:

  • V doméně musí být systémem Windows 2000 server.
  • Je nutné nainstalovat soubor IISSuba.dll řadiči domény. Tento soubor zkopírován automaticky během instalace systému Windows 2000 Server.
  • Je nutné nakonfigurovat všechny uživatelské účty s povolenou možností účet ukládat hesla pomocí reverzibilního šifrování . Povolení této možnosti účtu vyžaduje obnovit nebo znovu zadat heslo.
Poznámka: je nutné použít aplikaci Microsoft Internet Explorer 5.0 nebo novější jako webový prohlížeč používáte ověřování algoritmem digest.

Mapování klientských certifikátů

Mapování klientských certifikátů je metoda, kde je vytvořena "mapování" mezi certifikát a uživatelský účet. V tomto modelu uživatel předloží certifikát a systém vyhledá mapování určit, který uživatelský účet pro přihlášení. Můžete mapování certifikátu na uživatelský účet systému Windows v jednom ze dvou způsobů:

  • Pomocí služby Active Directory.

    - nebo -
  • Pomocí pravidel, které jsou definovány v rámci služby IIS.
Další informace o mapování klientských certifikátů na uživatelské účty Hledat v dokumentaci služby IIS pro mapování klientských certifikátů. Pokud máte nainstalovanou službu IIS, naleznete v dokumentaci služby IIS zadáním následující adresy URL do adresního řádku webového prohlížeče, kde je localhost název místního hostitele:

http://localhost/iisHelp/iis/misc/default.asp
Další informace o použití certifikátů klepněte na následující číslo článku databáze Microsoft Knowledge Base:

290625 jak konfigurovat SSL v testovacím prostředí Windows 2000 IIS 5 pomocí Certificate Server 2.0

Každá metoda ověřování, řízení přístupu k následující položky na serveru IIS lze konfigurovat:

  • Veškerý obsah webu, jehož hostitelem je server služby IIS.
  • Jednotlivé webové servery, které jsou hostovány na serveru IIS.
  • Jednotlivé virtuální adresáře nebo fyzické adresáře, které jsou na webu.
  • Jednotlivé stránky nebo soubory, které jsou na webu.

Konfigurace ověřování serveru WWW služby IIS

  1. Přihlaste se k počítači webového serveru pomocí účtu správce.
  2. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Správce služeb sítě Internet.

    Modul snap-in Internetová informační služba spustí.
  3. Ve stromu konzoly klepněte na tlačítko * název počítače kde název počítače je název počítače.
  4. Klepněte pravým tlačítkem na jednu z následujících položek a potom klepněte na příkaz Vlastnosti:
    • Chcete-li nakonfigurovat ověřování pro všechny webového obsahu, který je umístěn na serveru IIS, klepněte pravým tlačítkem * název počítače.
    • Chcete-li nakonfigurovat ověřování pro jednotlivý webový server, klepněte pravým tlačítkem myši webový server, který chcete.
    • Chcete-li nakonfigurovat ověřování pro virtuální adresář nebo fyzický adresář na serveru WWW, klepněte na požadovaný webový server a klepněte pravým tlačítkem myši na adresář, který chcete, jako je například _vti_pvt.
    • Chcete-li nakonfigurovat ověřování pro jednotlivé stránky nebo souboru na webu, klepněte na webový server, který chcete, klepněte na složku obsahující soubor nebo stránku, které chcete a klepněte pravým tlačítkem myši na soubor nebo stránku, která má.
  5. Na Název položky dialogovém okně Vlastnosti kde Název položky je název položky, kterou jste vybrali klepněte na kartu Zabezpečení adresáře .

    Poznámka: Pokud je vybraná položka je samostatný soubor, klepněte na kartu Zabezpečení souboru .
  6. Ve skupinovém rámečku anonymního přístupu a ověřováníklepněte na tlačítko Upravit.
  7. Klepnutím zaškrtněte políčko anonymní přístup k zapnutí anonymního přístupu. Vypněte anonymní přístup, klepnutím zrušte zaškrtnutí tohoto políčka.

    Poznámka: Pokud vypnete anonymní přístup, je nutné nakonfigurovat určitou formu ověřovaný přístup.
    1. Chcete-li změnit účet používaný pro anonymní přístup k tomuto prostředku, klepněte na tlačítko Upravit vedle účet použitý pro anonymní přístup.
    2. V dialogovém okně Účet anonymního uživatele klepněte na uživatelský účet, který chcete použít pro anonymní přístup.
    3. Klepnutím zrušte zaškrtnutí políčka Povolit kontrolu hesla službou IIS , pokud chcete použít rozhraní API systému Windows LogonUser() pro ověření uživatele.

      Poznámka: vypnutím této možnosti ovládací prvek heslo, to přinutí IIS použít běžné ověřování a místně se přihlásit k účtu. Měli byste vypnout tuto možnost, pokud uživatelé zaznamenat potíže s přístup k prostředkům, jako jsou soubory nebo databáze aplikace Microsoft Access v počítači v síti.
    4. Klepněte na tlačítko OK
  8. Ve skupinovém rámečku přístup na základě ověření, klepněte na tlačítko Vybrat základní ověřování (heslo je odesláno jako nezašifrovaný text) políčko, chcete-li povolit základní ověřování. Pokud se zobrazí následující zpráva, klepněte na tlačítko Ano:
    Možnost ověření výsledků výběru hesla budou přenášena sítí bez šifrování dat. Uživatel, který by chtěl narušit zabezpečení vašeho systému by mohl pomocí analyzátoru protokolu zjistit hesla uživatelů během procesu ověřování. Další podrobnosti o ověřování uživatelů naleznete v nápovědě online. Toto upozornění se nevztahuje na připojení HTTPS (nebo SSL).

    Opravdu že chcete pokračovat?
    1. Vyberte domény, se kterým lze ověřovat uživatele, kteří používají základní ověřování, klepněte na tlačítko Upravit vedle položky Vyberte výchozí doménu.
    2. Zadejte název domény, který má v poli Název domény a potom klepněte na tlačítko OK.

      Poznámka: Pokud máte obavy o zabezpečení v síti intranet, protože základní ověřování přenáší informace uživatelské jméno a heslo ve formátu prostého textu, můžete použít základní ověřování s protokol SSL (Secure Sockets Layer) (SSL).
  9. Klepnutím zaškrtněte políčko ověřování algoritmem Digest pro doménové servery systému Windows Chcete-li používat ověřování algoritmem digest. Pokud se zobrazí následující zpráva, klepněte na tlačítko Ano:

    Ověřování algoritmem Digest pracuje se pouze účty domény systému Windows 2000 a vyžaduje účty, které chcete ukládat hesla jako zašifrovaný prostý text.

    Opravdu že chcete pokračovat?
    Poznámka: je nutné nakonfigurovat uživatelské účty se zapnutou možností účet ukládat hesla pomocí reverzibilního šifrování .
  10. Klepnutím zaškrtněte políčko integrované ověřování systému Windows na integrované ověřování systému Windows.

    Poznámka: Tato metoda ověřování byla dříve označována jako Microsoft Windows NT Challenge/Response nebo NT LAN Manager (NTLM).
  11. Klepněte na tlačítko OKa potom v dialogovém okně Vlastnosti Název položky , klepněte na tlačítko OK. Pokud se otevře dialogové okno Potlačení dědičnosti :
    1. Klepněte na tlačítko Vybrat vše Chcete-li použít nové nastavení ověřování pro všechny soubory nebo složky, které jsou v rámci položky, kterou jste změnili.
    2. Klepněte na tlačítko OK
  12. Ukončete Internetová informační služba.

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

297954 odstraňování potíží s webovým serverem v systému Windows 2000

299970 jak chránit systémem IIS 4.0 nebo 5 webové stránky pomocí oprávnění NTFS

216705 postup nastavení oprávnění pro Web aplikace FrontPage na serveru IIS

222028 nastavení ověřování algoritmem Digest pro použití s Internetová informační služba 5.0
Vlastnosti

ID článku: 308160 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor