Cómo configurar la autenticación de sitio Web de IIS en Windows Server 2003

Para una versión de Microsoft Windows 2000 de este artículo, consulte
310344 .

Resumen

En este artículo se describe cómo configurar la autenticación de sitio Web de Microsoft Internet Information Services (IIS) en Windows Server 2003. Puede configurar IIS para autenticar usuarios antes de que se les permita el acceso a un sitio Web, una carpeta en el sitio o incluso un documento determinado incluido en una carpeta en el sitio. Autenticación en IIS puede utilizarse para aumentar el nivel de seguridad de los sitios, carpetas y documentos que no son para ser vistos por el público en general.

Autenticación en IIS resulta fundamental cuando los recursos no están destinados al acceso anónimo o público, pero cuando el servidor Web debe ser accesible para los usuarios autorizados a través de Internet. Ejemplos de aplicaciones de sitios Web que requieren control de acceso de autenticación incluyen Microsoft Outlook Web Access (OWA) y el cliente avanzado de los servicios de Microsoft Terminal Server.

Cómo configurar la autenticación en IIS

  1. Inicie el Administrador de IIS o abra el complemento de IIS.
  2. Expanda nombre_servidor, donde nombre_servidor es el nombre del servidor y, a continuación, expanda sitios Web.
  3. En el árbol de consola, haga clic derecho en el sitio Web, directorio virtual o archivo para el que desea configurar la autenticación y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Seguridad de directorios o Seguridad de archivos (según corresponda) y en anónimo y control de acceso, haga clic en Editar.
  5. Haga clic para activar la casilla de verificación situada junto al método de autenticación o los métodos que desea utilizar y, a continuación, haga clic en Aceptar.

    Los métodos de autenticación se establecen de forma predeterminada son acceso anónimo y autenticación de Windows integrada:
    • Acceso anónimo: cuando se activa el acceso anónimo, credenciales de usuario autenticado no se requieren tener acceso al sitio. Esta opción se utiliza mejor cuando desea conceder acceso público a información que no requiere seguridad. Cuando un usuario intenta conectarse al sitio Web, IIS asigna la conexión a la cuenta IUSER_nombreDeEquipo , donde
      NombreDeEquipo es el nombre del servidor donde se ejecuta IIS. De forma predeterminada, la cuenta IUSER_nombreDeEquipo es un miembro del grupo Invitados. Este grupo tiene restricciones de seguridad impuestas por los permisos del sistema de archivos NTFS, que designan el nivel de acceso y el tipo de contenido que está disponible para los usuarios públicos. Para editar la cuenta de Windows utilizada para el acceso anónimo, haga clic en Examinar en el cuadro de acceso anónimo .

      Importante: Si activa el acceso anónimo, IIS siempre intenta autenticar a los usuarios primero mediante la autenticación anónima, incluso si hay activados en métodos de autenticación adicionales.
    • Autenticación de Windows integrada: denominada anteriormente NTLM o autenticación de desafío/respuesta de Windows NT, este método envía información de autenticación del usuario a través de la red como un vale Kerberos y proporciona un alto nivel de seguridad. La autenticación de Windows integrada utiliza la versión 5 de Kerberos y la autenticación NTLM. Para utilizar este método, los clientes deben utilizar Microsoft Internet Explorer 2.0 o posterior. Además, la autenticación integrada de Windows no es compatible con conexiones de proxy HTTP. Esta opción es mejor para una intranet, donde el usuario y el servidor Web está en el mismo dominio, y los administradores pueden asegurarse de que todos los usuarios utilizan Internet Explorer 2.0 o posterior.

      Nota: Si se seleccionan diversas opciones de autenticación, IIS intenta negociar el método más seguro en primer lugar y, a continuación, consulta la lista de protocolos de autenticación disponibles hasta encontrar un protocolo de autenticación mutua que admitan tanto el cliente como el servidor.
    • Autenticación de texto implícita para servidores de dominio de Windows: autenticación de texto implícita requiere un ID de usuario y una contraseña, ofrece un nivel medio de seguridad y puede utilizarse cuando se desea conceder acceso a información segura desde redes públicas. Este método ofrece la misma funcionalidad que la autenticación básica. Sin embargo, este método transmite las credenciales del usuario a través de la red como un hash MD5 o mensaje implícito, en el que el original nombre de usuario y la contraseña no pueden descifrarse a partir del hash. Para utilizar este método, los clientes deben utilizar Microsoft Internet Explorer 5.0 o posterior.

      Si activa la autenticación de texto implícita, escriba el nombre de territorio en el cuadro territorio .
    • Autenticación básica (la contraseña se envía en texto sin cifrar): autenticación básica requiere un ID de usuario y una contraseña y proporciona un nivel bajo de seguridad. Las credenciales del usuario se envían en texto sin cifrar a través de la red. Este formato proporciona un nivel bajo de seguridad porque casi todos los analizadores de protocolo puede leer la contraseña. Sin embargo, es compatible con el número más amplio de clientes Web. Esta opción se utiliza mejor cuando desea conceder acceso a la información con poca o ninguna necesidad de privacidad.


      Si activa la autenticación básica, escriba el nombre de dominio que desea utilizar en el cuadro dominio predeterminado . También puede escribir un valor en el cuadro territorio .
    • Autenticación de Microsoft .NET Passport: la autenticación de .NET Passport ofrece seguridad de inicio de sesión único, por lo que proporciona a los usuarios acceso a diversos servicios en Internet. Al seleccionar esta opción, las solicitudes a IIS deben contener credenciales de .NET Passport válidas en la cadena de consulta o en una cookie. Si IIS no detecta las credenciales de .NET Passport, las solicitudes se redirigen a la página de inicio de sesión de .NET Passport.

      Nota: Al seleccionar esta opción, todos los demás métodos de autenticación no están disponibles (aparecen atenuados).
  6. Otro tipo de autenticación se basa en el host solicitante en lugar de las credenciales de usuario. Puede limitar el acceso basado en la dirección IP de origen, el identificador de red de origen o nombre de dominio de origen. Para configurar este tipo de autenticación, siga estos pasos:
    1. En restricciones de nombre de dominio y dirección IP, haga clic en Editar.
    2. Siga uno de estos procedimientos:
      • Para denegar el acceso, haga clic en Acceso concedidoy, a continuación, haga clic en Agregar. En el cuadro de diálogo Denegar acceso a que aparece, especifique la opción que desee y, a continuación, haga clic en Aceptar.

        El equipo, el grupo de equipos o dominio que ha especificado se agrega a la lista.
      • Para conceder acceso, haga clic en Acceso denegadoy, a continuación, haga clic en Agregar. En el cuadro de diálogo Conceder acceso sobre que aparece, seleccione la opción que desee y, a continuación, haga clic en Aceptar.

        El equipo, el grupo de equipos o dominio que seleccionó se agrega a la lista.
    3. Haga clic en Aceptar.
  7. Haga clic en Aceptary, a continuación, salga del Administrador de IIS o el complemento IIS.

Solución de problemas

  • Es posible que se deba aplicar todos los cambios realizados en los sitios existentes. Si desea aplicar a otro contenido de los cambios de autenticación, haga clic en el contenido de la lista de nodos secundarios y, a continuación, haga clic en Aceptar. Si no desea aplicar los cambios a cualquiera de los nodos secundarios, no seleccione ningún elemento en la lista y, a continuación, haga clic en Aceptar.
  • En IIS, puede configurar opciones de autenticación en el sitio Web, el directorio o el nivel de archivo. Los mismos principios que se tratan en este artículo se aplican a cada uno.
Propiedades

Id. de artículo: 324274 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios