Τρόπος ρύθμισης των παραμέτρων ελέγχου ταυτότητας Web των υπηρεσιών πληροφοριών Internet στα Windows 2000

Συνιστούμε όλους τους χρήστες να αναβάθμισουν σε υπηρεσίες Microsoft Internet Information Services (IIS) έκδοση 7.0 λειτουργεί με Microsoft Windows Server 2008. Το IIS 7.0 αυξάνει σημαντικά την ασφάλεια της υποδομής Web. Για περισσότερες πληροφορίες σχετικά με θέματα που αφορούν την ασφάλεια των υπηρεσιών IIS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες IIS 7.0, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Αυτό το άρθρο ισχύει για τα Windows 2000. Υποστήριξη για τα Windows 2000 λήγει στις 13 Ιουλίου 2010. Το Κέντρο λύσεων του τέλους της υποστήριξης των Windows 2000 είναι ένα σημείο εκκίνησης για το σχεδιασμό σας στρατηγικής μετεγκατάστασης από τα Windows 2000. Για περισσότερες πληροφορίες, ανατρέξτε στην Πολιτική κύκλου ζωής υποστήριξης της Microsoft.

Σύνοψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο ρύθμισης των παραμέτρων ελέγχου ταυτότητας για αιτήσεις που βασίζονται στο Web στις υπηρεσίες Microsoft Internet Information Services (IIS) 5.0.

Τρόπος λειτουργίας του ελέγχου ταυτότητας Web

Έλεγχος ταυτότητας Web είναι μια επικοινωνία μεταξύ του προγράμματος περιήγησης στο Web και διακομιστή Web που περιλαμβάνει έναν μικρό αριθμό κεφαλίδων Hyper κειμένου Transfer Protocol (HTTP) και μηνύματα λάθους.

Η ροή επικοινωνίας είναι:

  1. Το πρόγραμμα περιήγησης κάνει μια αίτηση, όπως HTTP GET.
  2. Ο διακομιστής Web εκτελεί έναν έλεγχο ταυτότητας. Εάν αυτό δεν είναι επιτυχής επειδή απαιτείται έλεγχος ταυτότητας, ο διακομιστής στέλνει πίσω ένα μήνυμα λάθους παρόμοιο με το εξής:

    Δεν έχετε εξουσιοδότηση για προβολή αυτής της σελίδας

    Δεν έχετε δικαίωμα προβολής αυτού του καταλόγου ή σελίδας χρησιμοποιώντας τα διαπιστευτήρια που παρείχατε.
    Πληροφορίες περιλαμβάνονται σε αυτό το μήνυμα που μπορεί να χρησιμοποιούν το πρόγραμμα περιήγησης στο Web για να υποβάλετε ξανά την αίτηση ως μια αίτηση με έλεγχο ταυτότητας.
  3. Το πρόγραμμα περιήγησης χρησιμοποιεί την απόκριση του διακομιστή για να δημιουργήσετε μια νέα αίτηση που περιέχει πληροφορίες ελέγχου ταυτότητας.
  4. Ο διακομιστής Web εκτελεί έναν έλεγχο ταυτότητας. Εάν ο έλεγχος είναι επιτυχής, ο διακομιστής Web στέλνει τα δεδομένα που ζητήθηκε αρχικά σε πρόγραμμα περιήγησης Web.

Οι μέθοδοι ελέγχου ταυτότητας

ΣΗΜΕΊΩΣΗ: σε ορισμένες από τις ακόλουθες μεθόδους ελέγχου ταυτότητας, πρέπει να χρησιμοποιείτε μονάδες δίσκου που έχουν διαμορφωθεί με το σύστημα αρχείων NTFS επειδή μονάδες δίσκου με διαμόρφωση NTFS διατηρούν το υψηλότερο επίπεδο ασφαλείας.

Οι υπηρεσίες IIS υποστηρίζουν τις πέντε ακόλουθες μεθόδους ελέγχου ταυτότητας Web:

Ο ανώνυμος έλεγχος ταυτότητας

Υπηρεσία IIS δημιουργεί το λογαριασμό IUSR_όνομα_υπολογιστή (όπου όνομα_υπολογιστή είναι το όνομα του υπολογιστή) για τον έλεγχο ταυτότητας στους ανώνυμους χρήστες όταν που ζητούν περιεχομένου Web. Ο λογαριασμός αυτός δίνει στο χρήστη το δικαίωμα να συνδεθεί τοπικά. Μπορείτε να επαναφέρετε την πρόσβαση ανώνυμου χρήστη για να χρησιμοποιήσετε οποιοδήποτε έγκυρο λογαριασμό των Windows.

ΣΗΜΕΊΩΣΗ: μπορείτε να ορίσετε διαφορετικές ανώνυμους λογαριασμούς για διαφορετικές τοποθεσίες Web, εικονικούς καταλόγους ή φυσικούς καταλόγους και αρχεία.

Εάν ο υπολογιστής που βασίζεται στα Windows 2000 είναι αυτόνομο διακομιστή, ο λογαριασμός IUSR_όνομα_υπολογιστή είναι στον τοπικό διακομιστή. Εάν ο διακομιστής είναι ελεγκτής τομέα, ο λογαριασμός IUSR_όνομα_υπολογιστή έχει οριστεί για τον τομέα.

Ο βασικός έλεγχος ταυτότητας

Χρήση βασικού ελέγχου ταυτότητας, για να περιορίσετε την πρόσβαση σε αρχεία σε ένα διακομιστή Web με διαμόρφωση NTFS. Με βασικό έλεγχο ταυτότητας, ο χρήστης πρέπει να εισαγάγει πιστοποιήσεις και πρόσβαση βασίζεται σε ID χρήστη.

Για να χρησιμοποιήσετε το βασικό έλεγχο ταυτότητας, παρέχουν κάθε χρήστη το δικαίωμα να συνδεθεί τοπικά και για ευκολότερη διαχείριση, προσθέτει σε μια ομάδα που έχει πρόσβαση σε τα απαραίτητα αρχεία.

ΣΗΜΕΊΩΣΗ: επειδή οι πιστοποιήσεις χρήστη είναι κωδικοποιημένα με κωδικοποίηση Base64, αλλά αυτά δεν κρυπτογραφούνται κατά που μεταδίδονται μέσω του δικτύου, ο βασικός έλεγχος ταυτότητας θεωρείται μια ασφαλή μορφή ελέγχου ταυτότητας.

Ο ενσωματωμένος έλεγχος ταυτότητας των Windows

Ο ενσωματωμένος έλεγχος ταυτότητας των Windows είναι πιο ασφαλή από τον βασικό έλεγχο ταυτότητας και λειτουργεί σωστά σε περιβάλλον Intranet, όπου οι χρήστες έχουν λογαριασμούς τομέα των Windows. Στο ενσωματωμένο έλεγχο ταυτότητας των Windows, το πρόγραμμα περιήγησης επιχειρεί να χρησιμοποιήσει τις πιστοποιήσεις του τρέχοντα χρήστη από μια σύνδεση τομέα και εάν αυτό αποτύχει, ο χρήστης καλείται να πληκτρολογήσει ένα όνομα χρήστη και κωδικό πρόσβασης. Εάν χρησιμοποιείτε ενσωματωμένο έλεγχο ταυτότητας των Windows, του κωδικού πρόσβασης δεν μεταδίδεται στο διακομιστή. Εάν ο χρήστης έχει συνδεθεί στον τοπικό υπολογιστή ως χρήστης τομέα, ο χρήστης δεν διαθέτει έλεγχο ταυτότητας ξανά όταν ο χρήστης αποκτά πρόσβαση σε έναν υπολογιστή δικτύου σε αυτόν τον τομέα.

ΣΗΜΕΊΩΣΗ: δεν μπορείτε να χρησιμοποιήσετε το ενσωματωμένο έλεγχο ταυτότητας των Windows μέσω ενός διακομιστή μεσολάβησης.

Ο συνοπτικός έλεγχος ταυτότητας

Ο συνοπτικός έλεγχος ταυτότητας αντιμετωπίζει πολλές από τις αδυναμίες του βασικού ελέγχου ταυτότητας. Ο κωδικός πρόσβασης δεν αποστέλλεται σε απλό κείμενο όταν χρησιμοποιείτε τον έλεγχο ταυτότητας digest. Επιπλέον, μπορείτε να χρησιμοποιήσετε τον έλεγχο ταυτότητας digest μέσω ενός διακομιστή μεσολάβησης. Ο συνοπτικός έλεγχος ταυτότητας χρησιμοποιεί ένα μηχανισμό πρόκλησης/απόκρισης (η οποία ενσωματωμένο χρησιμοποιεί έλεγχο ταυτότητας των Windows) όπου ο κωδικός πρόσβασης αποστέλλεται σε κρυπτογραφημένη μορφή. Για να χρησιμοποιήσετε τον έλεγχο ταυτότητας digest:

  • Ο διακομιστής με Windows 2000 πρέπει να είναι σε έναν τομέα.
  • Πρέπει να εγκαταστήσετε το αρχείο IISSuba.dll στον ελεγκτή τομέα. Αυτό το αρχείο αντιγράφεται αυτόματα κατά την εγκατάσταση του Windows 2000 Server.
  • Πρέπει να ρυθμίσετε όλους τους λογαριασμούς χρηστών με ενεργοποιημένη την επιλογή λογαριασμού Αποθήκευση κωδικού πρόσβασης με χρήση μετακλητής κρυπτογράφησης . Ενεργοποίηση αυτής της επιλογής λογαριασμού απαιτεί ότι ο κωδικός πρόσβασης να επαναφέρετε ή να εισαγάγετε πάλι.
ΣΗΜΕΊΩΣΗ: θα πρέπει να χρησιμοποιείτε Microsoft Internet Explorer 5.0 ή νεότερη έκδοση ως πρόγραμμα περιήγησης στο Web, εάν χρησιμοποιείτε τον έλεγχο ταυτότητας digest.

Η αντιστοίχιση πιστοποιητικών προγράμματος-πελάτη

Η αντιστοίχιση πιστοποιητικών προγράμματος-πελάτη είναι μια μέθοδος όπου "Αντιστοίχιση" δημιουργείται ένα πιστοποιητικό και ένα λογαριασμό χρήστη. Σε αυτό το μοντέλο χρήστη παρουσιάζει ένα πιστοποιητικό και το σύστημα εξετάζει την αντιστοίχιση για να προσδιορίσετε ποιος λογαριασμός χρήστη θα πρέπει να συνδεθείτε. Μπορείτε να αντιστοιχίσετε ένα πιστοποιητικό με ένα λογαριασμό χρήστη των Windows με έναν από δύο τρόπους:

  • Χρησιμοποιώντας την υπηρεσία καταλόγου Active Directory.

    - ή -
  • Χρησιμοποιώντας τους κανόνες που ορίζονται στις υπηρεσίες IIS.
Για πρόσθετες πληροφορίες σχετικά με τον τρόπο αντιστοίχισης πιστοποιητικών προγράμματος-πελάτη σε λογαριασμούς χρηστών, κάντε αναζήτηση για την αντιστοίχιση πιστοποιητικών προγράμματος-πελάτη στην τεκμηρίωση των υπηρεσιών IIS. Εάν έχετε εγκαταστήσει τις υπηρεσίες IIS, μπορείτε να προβάλετε την τεκμηρίωση των υπηρεσιών IIS, πληκτρολογώντας την ακόλουθη διεύθυνση URL στη γραμμή διευθύνσεων του προγράμματος περιήγησης Web όταν το όρισμα Τοπικός_Υπολογιστής είναι το όνομα του τοπικού κεντρικού υπολογιστή:

http://localhost/iisHelp/iis/misc/default.asp
Για περισσότερες πληροφορίες σχετικά με τη χρήση πιστοποιητικών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

290625 ΔΙΑΔΙΚΑΣΙΕΣ: ρύθμιση παραμέτρων SSL σε περιβάλλον Windows 2000 IIS 5 δοκιμή χρησιμοποιώντας πιστοποιητικό διακομιστή 2.0

Μπορείτε να ρυθμίσετε κάθε μέθοδος ελέγχου ταυτότητας για τον έλεγχο πρόσβασης στα ακόλουθα στοιχεία στο διακομιστή των υπηρεσιών IIS:

  • Όλων των περιεχομένων Web που φιλοξενείται σε διακομιστή IIS.
  • Μεμονωμένες τοποθεσίες Web που φιλοξενούνται στο διακομιστή IIS.
  • Μεμονωμένες εικονικούς καταλόγους ή φυσικούς καταλόγους που βρίσκονται σε μια τοποθεσία Web.
  • Μεμονωμένες σελίδες ή αρχεία που βρίσκονται σε μια τοποθεσία Web.

Τρόπος ρύθμισης των παραμέτρων ελέγχου ταυτότητας της τοποθεσίας Web των υπηρεσιών IIS

  1. Χρησιμοποιήστε ένα λογαριασμό διαχειριστή για να συνδεθείτε στον υπολογιστή του διακομιστή Web.
  2. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε την εντολή προγράμματα, εργαλεία Διαχείρισηςκαι, στη συνέχεια, κάντε κλικ στην επιλογή Διαχείριση υπηρεσιών Internet.

    Το συμπληρωματικό πρόγραμμα Υπηρεσίες Internet Information Services θα ξεκινήσει.
  3. Στο δέντρο της κονσόλας, κάντε κλικ στο κουμπί * όνομα υπολογιστή όπου το όνομα του υπολογιστή είναι το όνομα του υπολογιστή.
  4. Κάντε δεξιό κλικ σε ένα από τα παρακάτω στοιχεία και, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες:
    • Για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας για όλο το περιεχόμενο Web που φιλοξενείται σε διακομιστή IIS, κάντε δεξιό κλικ στο * όνομα υπολογιστή.
    • Για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας για μια μεμονωμένη τοποθεσία Web, κάντε δεξιό κλικ στην τοποθεσία Web που θέλετε.
    • Για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας για έναν εικονικό κατάλογο ή έναν φυσικό κατάλογο σε μια τοποθεσία Web, κάντε κλικ στην τοποθεσία Web που θέλετε και, στη συνέχεια, κάντε δεξιό κλικ στον κατάλογο που θέλετε, όπως _vti_pvt.
    • Για να ρυθμίσετε τις παραμέτρους ελέγχου ταυτότητας για μια μεμονωμένη σελίδα ή αρχείο σε μια τοποθεσία Web, κάντε κλικ στην τοποθεσία Web που θέλετε, κάντε κλικ στο φάκελο που περιέχει το αρχείο ή τη σελίδα που θέλετε και, στη συνέχεια, κάντε δεξιό κλικ στο αρχείο ή τη σελίδα που θέλετε.
  5. Στο Όνομα του στοιχείου στο παράθυρο διαλόγου Ιδιότητες όπου Όνομα στοιχείου είναι το όνομα του στοιχείου που έχετε επιλέξει, κάντε κλικ στην καρτέλα Ασφάλεια καταλόγου .

    ΣΗΜΕΊΩΣΗ: Εάν το επιλεγμένο στοιχείο είναι ένα μεμονωμένο αρχείο, κάντε κλικ στην καρτέλα Ασφάλεια αρχείου .
  6. Στην περιοχή ανώνυμη πρόσβαση και ρυθμίσεις ελέγχου ταυτότητας, κάντε κλικ στο κουμπί Επεξεργασία.
  7. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου ανώνυμης πρόσβασης για να ενεργοποιήσετε την ανώνυμη πρόσβαση. Για να απενεργοποιήσετε την ανώνυμη πρόσβαση, κάντε κλικ για να καταργήσετε αυτό το πλαίσιο ελέγχου.

    ΣΗΜΕΊΩΣΗ: Εάν απενεργοποιήσετε την ανώνυμη πρόσβαση, πρέπει να ρυθμίσετε κάποια μορφή πρόσβαση με έλεγχο ταυτότητας.
    1. Για να αλλάξετε το λογαριασμό που χρησιμοποιείται για ανώνυμη πρόσβαση σε αυτόν τον πόρο, κάντε κλικ στο κουμπί " Επεξεργασία " δίπλα στο λογαριασμό που χρησιμοποιείται για ανώνυμη πρόσβαση.
    2. Στο παράθυρο διαλόγου Ανώνυμο λογαριασμό χρήστη , κάντε κλικ στο λογαριασμό χρήστη που θέλετε να χρησιμοποιήσετε για την ανώνυμη πρόσβαση.
    3. Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Επιτρέπεται IIS Έλεγχος κωδικού πρόσβασης , εάν θέλετε να χρησιμοποιήσετε το Windows API LogonUser() για έλεγχο ταυτότητας.

      ΣΗΜΕΊΩΣΗ: απενεργοποιώντας αυτήν την επιλογή ελέγχου κωδικού πρόσβασης, με αυτόν τον τρόπο τις υπηρεσίες IIS για να χρησιμοποιήσετε κανονικές ελέγχου ταυτότητας και ο λογαριασμός τοπικής σύνδεσης. Θα πρέπει να απενεργοποιήσετε αυτήν την επιλογή εάν οι χρήστες αντιμετωπίζουν δυσκολίες κατά την πρόσβαση σε πόρους, όπως αρχεία ή βάσεις δεδομένων της Microsoft Access σε έναν υπολογιστή δικτύου.
    4. Κάντε κλικ στο κουμπί OK.
  8. Στην περιοχή πρόσβαση με έλεγχο ταυτότητας, κάντε κλικ για να επιλέξετε το Βασικός έλεγχος ταυτότητας (κωδικός πρόσβασης αποστέλλεται σε απλό κείμενο) το πλαίσιο ελέγχου για να ενεργοποιήσετε το βασικό έλεγχο ταυτότητας. Όταν λάβετε το ακόλουθο μήνυμα, κάντε κλικ στο κουμπί " Ναι":
    Η επιλογή ελέγχου ταυτότητας που έχετε επιλέξει τα αποτελέσματα των κωδικών πρόσβασης που μεταδίδονται μέσω δικτύου χωρίς κρυπτογράφηση δεδομένων. Κάποιος που θα προσπαθήσει να παραβιάσει την ασφάλεια του συστήματός σας θα μπορούσε να χρησιμοποιήσει έναν αναλυτή πρωτοκόλλων για να εξετάσει τους κωδικούς κατά τη διαδικασία ελέγχου ταυτότητας. Για περισσότερες λεπτομέρειες σχετικά με τον έλεγχο ταυτότητας χρήστη, συμβουλευτείτε την ηλεκτρονική Βοήθεια. Αυτή η προειδοποίηση δεν ισχύει για συνδέσεις HTTPS (ή SSL).

    Είστε βέβαιοι ότι θέλετε να συνεχίσετε;
    1. Για να επιλέξετε έναν τομέα με τον οποίο ο έλεγχος ταυτότητας χρηστών που χρησιμοποιούν βασικό έλεγχο ταυτότητας, κάντε κλικ στο κουμπί Επεξεργασία δίπλα στο Επιλέξτε ένα προεπιλεγμένο τομέα.
    2. Πληκτρολογήστε τον τομέα που θέλετε στο πλαίσιο Όνομα τομέα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

      Σημείωση Εάν ανησυχείτε σχετικά με την ασφάλεια στο intranet σας επειδή ο βασικός έλεγχος ταυτότητας μεταδίδει πληροφορίες ονόματος και κωδικού πρόσβασης χρήστη σε μορφή απλού κειμένου, μπορείτε να χρησιμοποιήσετε το βασικό έλεγχο ταυτότητας μαζί με πρωτοκόλλου Secure Sockets Layer (SSL).
  9. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου ο συνοπτικός έλεγχος ταυτότητας για διακομιστές τομέα των Windows για να χρησιμοποιήσετε τον έλεγχο ταυτότητας digest. Όταν λάβετε το ακόλουθο μήνυμα, κάντε κλικ στο κουμπί " Ναι":

    Ο συνοπτικός έλεγχος ταυτότητας λειτουργεί με μόνο των λογαριασμών τομέα Windows 2000 και απαιτεί λογαριασμών για την αποθήκευση κωδικών πρόσβασης με κρυπτογραφημένο απλού κειμένου.

    Είστε βέβαιοι ότι θέλετε να συνεχίσετε;
    ΣΗΜΕΊΩΣΗ: πρέπει να ρυθμίσετε τους λογαριασμούς χρηστών με ενεργοποιημένη την επιλογή λογαριασμού Αποθήκευση κωδικού πρόσβασης με χρήση μετακλητής κρυπτογράφησης .
  10. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου του ενσωματωμένου ελέγχου ταυτότητας Windows για να χρησιμοποιήσετε το ενσωματωμένο έλεγχο ταυτότητας των Windows.

    ΣΗΜΕΊΩΣΗ: Αυτή η μέθοδος ελέγχου ταυτότητας ήταν γνωστό παλιότερα ως Microsoft Windows NT Challenge/Response ή NT LAN Manager (NTLM).
  11. Κάντε κλικ στο κουμπί OKκαι, στη συνέχεια, στο παράθυρο διαλόγου Ιδιότητες : Όνομα στοιχείου , κάντε κλικ στο κουμπί OK. Εάν ανοίξει το παράθυρο διαλόγου Παρακάμψεις μεταβίβασης :
    1. Κάντε κλικ στο κουμπί Επιλογή όλων για να εφαρμόσετε τις νέες ρυθμίσεις ελέγχου ταυτότητας σε όλα τα αρχεία ή τους φακέλους που βρίσκονται μέσα στο στοιχείο που αλλάξατε.
    2. Κάντε κλικ στο κουμπί OK.
  12. Κλείστε τις υπηρεσίες Internet Information Services.

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

297954 Τρόπος αντιμετώπισης προβλημάτων του διακομιστή Web στα Windows 2000

299970 τρόπος για να χρησιμοποιήσετε δικαιώματα NTFS για να προστατεύσετε μια σελίδα Web που εκτελεί τις υπηρεσίες IIS 4.0 ή 5

216705 Τρόπος ρύθμισης δικαιωμάτων σε ένα περιεχόμενο Web του FrontPage σε διακομιστή IIS

222028 ρύθμιση ο συνοπτικός έλεγχος ταυτότητας για χρήση με τις υπηρεσίες Internet Information Services 5.0
Ιδιότητες

Αναγνωριστικό άρθρου: 308160 - Τελευταία αναθεώρηση: 21 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια