Konfigurace ověřování serveru WWW služby IIS v systému Windows Server 2003

Microsoft Windows 2000 verzi tohoto článku naleznete v tématu
310344 .

Souhrn

Tento článek popisuje konfiguraci ověřování webového serveru Internetová informační služba (IIS) v systému Windows Server 2003. Můžete nakonfigurovat službu IIS na ověřování uživatelů před jejich mají povolený přístup k webu, složky webu nebo dokonce v určitém dokumentu obsažené ve složce na webu. Ověřování ve službě IIS lze posílit úroveň zabezpečení na servery, složky a dokumenty, které nechcete zobrazit širokou veřejností.

Ověřování ve službě IIS je důležité prostředky nejsou určeny pro anonymní nebo veřejný přístup, ale v případě, že webový server musí být přístupné pouze schváleným uživatelům prostřednictvím sítě Internet. Mezi webové aplikace, které vyžadují ověřování, řízení přístupu patří Microsoft Outlook Web Access (OWA) a Microsoft Advanced klienta služby Terminal Services.

Konfigurace ověřování ve službě IIS

  1. Spuštění Správce služby IIS nebo otevřete modul snap-in služby IIS.
  2. Název_serveru, kde název_serveru je název serveru, rozbalte a potom rozbalte položku webové servery.
  3. Ve stromu konzoly klepněte pravým tlačítkem myši webový server, virtuální adresář nebo soubor, u kterého chcete konfigurovat ověřování a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu Zabezpečení adresáře nebo Zabezpečení souboru (podle potřeby) a potom ve skupinovém rámečku anonymní přístup a řízení přístupuklepněte na tlačítko Upravit.
  5. Zaškrtněte políčko vedle metody ověřování nebo metody, které chcete použít a potom klepněte na tlačítko OK.

    Metody ověřování, které jsou ve výchozím nastavení jsou anonymní přístup a integrované ověřování systému Windows:
    • Anonymní přístup: Pokud je zapnuto anonymní přístup, bez pověření ověřeného uživatele vyžadovaných pro přístup k webu. Tato možnost je nejvhodnější, pokud chcete udělit přístup veřejnosti k informacím, které vyžaduje žádné zabezpečení. Pokud se uživatel pokusí připojit k serveru WWW, přiřadí služba IIS připojení účet IUSER_název_počítače , kde
      Název_počítače je název serveru, na kterém je spuštěna služba IIS. Ve výchozím nastavení účet IUSER_název_počítače je členem skupiny Guests. Tato skupina má bezpečnostní omezení ukládané oprávnění v systému souborů NTFS, která určují úroveň přístupu a typ obsahu dostupného veřejnosti. Upravit účet systému Windows použitý pro anonymní přístup, klepněte na tlačítko Procházet v rámečku anonymní přístup .

      Důležité: Pokud povolíte anonymní přístup, služba IIS se vždy pokusí ověřovat uživatele pomocí anonymního ověřování nejprve i v případě, že zapnete dalších metod ověřování.
    • Integrované ověřování systému Windows: dříve se jmenovala NTLM nebo ověřování Windows NT Challenge/Response, tato metoda odesílá informace o ověřování uživatele přes síť jako lístek protokolu Kerberos a poskytuje vysokou úroveň zabezpečení. Integrované ověřování systému Windows používá protokol Kerberos verze 5 a ověřování NTLM. Chcete-li použít tuto metodu, klienti musí používat aplikaci Microsoft Internet Explorer verze 2.0 nebo novější. Navíc integrované ověřování systému Windows není podporována přes připojení HTTP proxy. Tato možnost je nejlepší použít pro síť intranet, jak uživatele a počítače webového serveru jsou ve stejné doméně, kde správci můžete zajistit, že každý uživatel používá aplikaci Internet Explorer 2.0 nebo novější.

      Poznámka: Pokud je vybráno více možností ověřování, služba IIS se pokusí vyjednat nejbezpečnější metodu nejprve a pak funguje dolů v seznamu dostupných ověřovacích protokolech dokud vzájemné ověřování protokol je podporován klientem a serverem.
    • Ověřování algoritmem Digest pro doménové servery Windows: ověřování algoritmem Digest vyžaduje ID uživatele a heslo, poskytuje střední úroveň zabezpečení a mohou být použity, pokud chcete udělit přístup k zabezpečení informací z veřejné sítě. Tato metoda poskytuje stejné funkce jako základní ověřování. Tato metoda však přenáší uživatelská pověření v síti jako algoritmus hash MD5 nebo výtah ze zprávy, ve kterém původní uživatelské jméno a heslo nelze dešifrovat znalosti z hodnoty hash. Chcete-li použít tuto metodu, musí klienti používat aplikaci Microsoft Internet Explorer 5.0 nebo novější.

      Pokud zapnete ověřování algoritmem digest, zadejte název do pole Sféra .
    • Základní ověřování (heslo je odesláno jako nezašifrovaný text): základní ověřování vyžaduje ID uživatele a heslo a poskytuje nízkou úroveň zabezpečení. Pověření uživatele jsou odesílány ve formátu prostého textu v síti. Tento formát poskytuje nízkou úroveň zabezpečení, protože hesla mohou být přečteny téměř všechny analyzátory protokolů. Je však kompatibilní s co největší počet webových klientů. Tato možnost je nejvhodnější, pokud chcete udělit přístup k informacím s malou nebo žádnou úroveň soukromí.


      Pokud zapnete základní ověřování, zadejte název domény, který chcete použít v poli Výchozí doména . Můžete také volitelně zadat hodnotu do pole Sféra .
    • Microsoft .NET Passport ověřování: ověřování .NET Passport poskytuje jednotného přihlášení zabezpečení, které uživatelům poskytuje přístup k různorodým služby na Internetu. Když vyberete tuto možnost, požadavky IIS musí obsahovat platná pověření služby .NET Passport v řetězci dotazu nebo v souboru cookie. Pokud služba IIS nenalezne pověřovací údaje služby .NET Passport, jsou požadavky přesměrovány na přihlašovací stránku služby .NET Passport.

      Poznámka: Když vyberete tuto možnost, všechny ostatní metody ověřování nejsou k dispozici (je zobrazeno šedě).
  6. Jiný typ ověřování je založen na žádající hostitele namísto pověření uživatele. Můžete omezit přístup podle zdrojové adresy IP, zdrojové ID sítě nebo název zdrojové domény. Chcete-li konfigurovat tento typ ověřování, postupujte takto:
    1. Podle adresy IP a omezení domén klepněte na tlačítko Upravit.
    2. Proveďte jednu z následujících akcí:
      • Chcete-li odepřít přístup, klepněte na tlačítko Udělit přístupa potom klepněte na tlačítko Přidat. V zobrazeném dialogovém okně Odepřít přístup na zadejte požadovanou možnost a potom klepněte na tlačítko OK.

        Počítače, skupiny počítačů nebo domény, které jste zadali, je přidán do seznamu.
      • Chcete-li udělit přístup, klepněte na tlačítko Odepřít přístupa potom klepněte na tlačítko Přidat. V zobrazeném dialogovém okně Udělit přístup na vyberte požadovanou možnost a potom klepněte na tlačítko OK.

        Počítače, skupiny počítačů nebo domény, které jste vybrali, je přidán do seznamu.
    3. Klepněte na tlačítko OK
  7. Klepněte na tlačítko OKa ukončete Správce služby IIS nebo zavřete modul snap-in služby IIS.

Poradce při potížích

  • Můžete být vyzváni Chcete-li použít všechny změny, které jste provedli na existující weby. Pokud chcete ověřování změn u jiného obsahu, klepněte na obsah ze seznamu podřízené uzly a klepněte na tlačítko OK. Pokud chcete změny použít na všechny podřízené uzly, není vyberte všechny položky v seznamu a klepněte na tlačítko OK.
  • Ve službě IIS můžete nastavit možnosti ověřování na webový server, adresář nebo úrovni souboru. Na stejných principech, které jsou zmíněny v tomto článku použít pro každý.
Vlastnosti

ID článku: 324274 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor