SO WIRD'S GEMACHT: Konfigurieren der IIS-Webauthentifizierung in Windows 2000

Dieser Artikel wurde zuvor veröffentlicht unter D308160
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
308160 HOW TO: Configure Internet Information Services Web Authentication in Windows 2000
Zusammenfassung
In diesem Artikel wird Schritt für Schritt das Konfigurieren der Authentifizierung für Webanforderungen in Microsoft Internet-Informationsdienste (IIS) 5.0 beschrieben.

Zurück zum Anfang

Funktionsweise der Webauthentifizierung

Webauthentifizierung erfolgt durch Kommunikation zwischen dem Webbrowser und dem Webserver. Hierzu sind einige HTTP-Header (Hyper Text Transfer Protocol) und Fehlermeldungen erforderlich.

Die Kommunikation läuft folgendermaßen ab:
  1. Der Webbrowser stellt eine Anforderung, z. B. HTTP-GET.
  2. Der Webserver führt eine Authentifizierungsprüfung durch. Falls diese Prüfung fehlschlägt, da eine Authentifizierung erforderlich ist, sendet der Server eine Fehlermeldung zurück, die der folgenden ähnlich ist:
    Sie dürfen nicht auf diese Seite zugreifen.

    Die angegebenen Anmeldeinformationen berechtigen Sie nicht zum Zugriff auf dieses Verzeichnis bzw. diese Seite.
    Diese Meldung enthält Informationen, mit denen der Webbrowser die Anforderung erneut als authentifizierte Anforderung senden kann.
  3. Aus der Antwort des Servers erstellt der Webbrowser eine neue Anforderung mit Authentifizierungsinformationen.
  4. Der Webserver führt eine Authentifizierungsprüfung durch. Bei erfolgreicher Prüfung sendet der Webserver die ursprünglich angeforderten Daten an den Webbrowser.
Zurück zum Anfang

Authentifizierungsmethoden

HINWEIS: Bei einigen der folgenden Authentifizierungsmethoden müssen Sie NTFS-Laufwerke verwenden, um den höchsten Grad an Sicherheit zu gewährleisten.

IIS unterstützt folgende fünf Webauthentifizierungsmethoden:

Anonyme Authentifizierung

IIS erstellt das IUSR_Computername-Konto (wobei Computername der Name des Computers ist), um anonyme Benutzer beim Anfordern von Webinhalten authentifizieren zu können. Das Konto berechtigt den Benutzer zur lokalen Anmeldung. Sie können die Zugriffsrechte anonymer Benutzer auf die Verwendung eines gültigen Windows-Kontos zurücksetzen.

HINWEIS: Sie können unterschiedliche anonyme Konten für verschiedene Websites, virtuelle Verzeichnisse oder physische Verzeichnisse und Dateien einrichten.

Wenn der Computer unter Windows 2000 als eigenständiger Server betrieben wird, befindet sich das IUSR_Computername-Konto auf dem lokalen Server. Wird der Server als Domänencontroller betrieben, ist das IUSR_Computername-Konto für die Domäne definiert.

Zurück zum Anfang

Standardauthentifizierung

Mit der Standardauthentifizierung können Sie den Zugriff auf Dateien auf einem NTFS-Webserver einschränken. Bei der Standardauthentifizierung muss der Benutzer Anmeldeinformationen eingeben, und Zugriffsberechtigungen sind von der Benutzer-ID abhängig.

Bei Verwendung der Standardauthentifizierung benötigen alle Benutzer die Berechtigung für die lokale Anmeldung. Sie können die Verwaltung vereinfachen, indem Sie alle Benutzer einer Gruppe hinzufügen, die auf die benötigten Dateien zugreifen darf.

HINWEIS: Die Standardauthentifizierung wird als unsichere Authentifizierungsform betrachtet, da Anmeldeinformationen zwar in Base64 codiert, aber bei ihrer Übertragung über ein Netzwerk nicht verschlüsselt werden.

Zurück zum Anfang

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer am lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.

HINWEIS: Die integrierte Windows-Authentifizierung kann nicht über einen Proxyserver betrieben werden.

Zurück zum Anfang

Digestauthentifizierung

Viele Schwachpunkte der Standardauthentifizierung sind bei der Digestauthentifizierung beseitigt. Bei der Digestauthentifizierung wird das Kennwort nicht als Klartext übertragen. Außerdem kann ein Proxyserver verwendet werden. Bei der Digestauthentifizierung wird ein Abfrage-/Rückmeldungsmechanismus (der aus der integrierten Windows-Authentifizierung bekannt ist) verwendet, bei dem das Kennwort verschlüsselt übertragen wird. So verwenden Sie die Digestauthentifizierung:
  • Der Windows 2000-Server muss Teil einer Domäne sein.
  • Auf dem Domänencontroller muss die Datei IISSuba.dll installiert sein. Diese Datei wird beim Setup für Windows 2000 Server automatisch kopiert.
  • Beim Konfigurieren der Benutzerkonten muss die OptionKennwort mit reversibler Verschlüsselung speichernaktiviert werden. Beim Aktivieren dieser Option muss das Kennwort zurückgesetzt oder erneut eingegeben werden.
HINWEIS: Bei der Digestauthentifizierung müssen Sie Microsoft Internet Explorer 5.0 oder höher als Webbrowser verwenden.

Zurück zum Anfang

Zuordnung von Clientzertifikaten

Die Zuordnung von Clientzertifikaten ist ein Verfahren, bei dem eine "Zuordnung" zwischen einem Zertifikat und einem Benutzerkonto erstellt wird. In diesem Modell legt der Benutzer ein Zertifikat vor, woraufhin das System auf der Grundlage der Zuordnung das anzumeldende Benutzerkonto ermittelt. Es gibt zwei Möglichkeiten, um ein Zertifikat einem Windows-Benutzerkonto zuzuordnen:
  • Verwendung von Active Directory.

    - oder -
  • Verwendung von in IIS definierten Regeln.
Weitere Informationen über das Zuordnen von Clientzertifikaten zu Benutzerkonten finden Sie, wenn Sie in der IIS-Dokumentation nach "Zuordnung von Clientzertifikaten" suchen. Wenn IIS installiert ist, können Sie die IIS-Dokumentation öffnen, indem Sie den folgenden URL in die Adressleiste des Webbrowsers eingeben, wobei localhost der Name des lokalen Hosts ist:
http://localhost/iisHelp/iis/misc/default.asp
Weitere Informationen über das Verwenden von Zertifikaten finden Sie, wenn Sie auf die nachstehende Artikelnummer klicken, um den entsprechenden Artikel in der Microsoft Knowledge Base anzuzeigen:
290625 How to Configure SSL in a Windows 2000 IIS 5 Test Environment Using Certificate Server 2.0
Bei allen Authentifizierungsmethoden können Sie den Zugriff auf die folgenden Elemente auf dem IIS-Server konfigurieren:
  • Alle Webinhalte, für die der IIS-Server als Host fungiert.
  • Einzelne Websites, für die der IIS-Server als Host fungiert.
  • Einzelne virtuelle Verzeichnisse oder physische Verzeichnisse, die zu einer Website gehören.
  • Einzelne Seiten oder Dateien, die zu einer Website gehören.
Zurück zum Anfang

Konfigurieren der IIS-Websiteauthentifizierung

  1. Melden Sie sich über ein Administratorkonto am Webservercomputer an.
  2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetdienste-Manager.

    Das Internet-Informationsdienste-Snap-In wird gestartet.
  3. Klicken Sie in der Konsolenstruktur auf* Computername, wobei Computername der Name des Computers ist.
  4. Klicken Sie mit der rechten Maustaste auf eines der folgenden Elemente, und klicken Sie dann auf Eigenschaften.
    • Zum Konfigurieren der Authentifizierung für alle Webinhalte, für die der IIS-Server als Host fungiert, klicken Sie mit der rechten Maustaste auf* Computername.
    • Zum Konfigurieren der Authentifizierung für eine einzelne Website klicken Sie mit der rechten Maustaste auf die betreffende Website.
    • Zum Konfigurieren der Authentifizierung für ein virtuelles Verzeichnis oder ein physisches Verzeichnis auf einer Website klicken Sie auf die betreffende Website, und klicken Sie dann mit der rechten Maustaste auf das gewünschte Verzeichnis, z. B._vti_pvt.
    • Zum Konfigurieren der Authentifizierung für eine einzelne Seite oder Datei auf einer Website klicken Sie auf die betreffende Website, klicken Sie auf den Ordner mit der entsprechenden Seite oder Datei, und klicken Sie dann mit der rechten Maustaste auf die Seite oder Datei.
  5. Klicken Sie im Dialogfeld Eigenschaften von Elementname auf die Registerkarte Verzeichnissicherheit, wobei Elementname der Name des ausgewählten Elements ist.

    HINWEIS: Wenn es sich bei dem ausgewählten Element um eine einzelne Datei handelt, klicken Sie auf die Registerkarte Dateisicherheit.
  6. Klicken Sie unterSteuerung des anonymen Zugriffs und der Authentifizierungauf Bearbeiten.
  7. Aktivieren Sie das KontrollkästchenAnonymer Zugriff, um den anonymen Zugriff zu aktivieren. Zum Deaktivieren des anonymen Zugriffs deaktivieren Sie das Kontrollkästchen.

    HINWEIS: Wenn Sie den anonymen Zugriff deaktivieren, müssen Sie den authentifizierten Zugriff in irgendeiner Form konfigurieren.
    1. Wenn Sie das Konto ändern möchten, das für den anonymen Zugriff auf diese Ressource verwendet wird, klicken Sie auf Bearbeiten nebenVerwendetes Konto für anonymen Zugriff.
    2. Klicken Sie im Dialogfeld Anonymes Benutzerkonto auf das Benutzerkonto, das für den anonymen Zugriff verwendet werden soll.
    3. Deaktivieren Sie das KontrollkästchenKennwortkontrolle durch IIS zulassen, wenn Sie die LogonUser()-API von Windows für die Benutzerauthentifizierung verwenden möchten.

      HINWEIS: Wenn Sie diese Kennwortkontrolloption deaktivieren, verwendet IIS die normale Authentifizierung und meldet das Konto lokal an. Deaktivieren Sie diese Option, wenn für die Benutzer Probleme beim Zugriff auf Ressourcen wie Dateien oder Microsoft Access-Datenbanken auf einem Netzwerkcomputer auftreten.
    4. Klicken Sie auf OK.
  8. Aktivieren Sie unterAuthentifizierter Zugriffdas KontrollkästchenStandardauthentifizierung (Kennwort wird als Klartext gesendet), um die Standardauthentifizierung zu aktivieren. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
    Mit der gewählten Authentifizierung werden Kennwörter unverschlüsselt über das Netzwerk gesendet werden. Die Systemsicherheit kann gefährdet werden, wenn ein anderer Benutzer versucht, ein Protokollanalyseprogramm zu verwenden, um Benutzerkennwörter während der Authentifizierung zu ermitteln. Weitere Informationen über Benutzerauthentifizierung finden Sie in der Hilfe. Diese Warnung trifft nicht auf HTTPS- (oder SSL-) Verbindungen zu.

    Möchten Sie den Vorgang wirklich fortsetzen?
    1. Zum Auswählen einer Domäne zum Authentifizieren von Benutzern, die die Standardauthentifizierung verwenden, klicken Sie auf Bearbeiten nebenStandarddomäne auswählen.
    2. Geben Sie im Feld Domänenname die gewünschte Domäne ein, und klicken Sie anschließend auf OK.
  9. Aktivieren Sie das KontrollkästchenDigestauthentifizierung für Windows-Domänenserver, wenn die Digestauthentifizierung verwendet werden soll. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
    Digestauthentifizierung funktioniert nur mit Domänenkonten von Windows 2000 und erfordert, dass die Konten Kennwörter als verschlüsselten Klartext speichern.

    Möchten Sie den Vorgang wirklich fortsetzen?
    HINWEIS: Beim Konfigurieren der Benutzerkonten muss die OptionKennwort mit reversibler Verschlüsselung speichernaktiviert werden.
  10. Aktivieren Sie das KontrollkästchenIntegrierte Windows-Authentifizierung, wenn die integrierte Windows-Authentifizierung verwendet werden soll.

    HINWEIS: Diese Authentifizierungsmethode war bisher unter der Bezeichnung Microsoft Windows NT Challenge/Response oder NT LAN Manager (NTLM) bekannt.
  11. Klicken Sie auf OK, und klicken Sie dann im Dialogfeld Eigenschaften von Elementname auf OK. Wenn das Dialogfeld Vererbungsüberschreibungen geöffnet wird, fahren Sie wie folgt fort:
    1. Klicken Sie auf Alle auswählen, um die neuen Authentifizierungseinstellungen auf alle Dateien oder Ordner im geänderten Element anzuwenden.
    2. Klicken Sie auf OK.
  12. Beenden Sie die Internet-Informationsdienste.
Zurück zum Anfang
Verweise
Weitere Informationen erhalten Sie, wenn Sie auf die nachstehenden Artikelnummern klicken, um die Artikel in der Microsoft Knowledge Base anzuzeigen:
297954 HOW TO: Troubleshoot the Web Server in Windows 2000
299970 HOW TO: Use NTFS Security to Protect a Web Page Running on IIS 4.0 or 5.0
216705 How to Set Permissions on a FrontPage Web on IIS
222028 Setting Up Digest Authentication for Use with Internet Information Services 5.0
158229 INFO: Security Ramifications for IIS Applications
Zurück zum Anfang
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 308160 – Letzte Überarbeitung: 09/26/2003 11:09:00 – Revision: 2.1

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Small Business Server 2000 Standard Edition

  • kbhowto kbhowtomaster KB308160
Feedback