Kami sangat menyarankan agar semua pengguna memutakhirkan ke layanan informasi internet (IIS) Microsoft versi 7,0 yang berjalan di Microsoft Windows Server 2008. IIS 7,0 secara signifikan meningkatkan keamanan infrastruktur web. Untuk informasi selengkapnya tentang topik terkait keamanan IIS, kunjungi situs web Microsoft berikut ini:

http://www.microsoft.com/technet/security/prodtech/IIS.mspxUntuk informasi selengkapnya tentang IIS 7,0, kunjungi situs web Microsoft berikut ini:

http://www.iis.net/default.aspx?tabid=1

Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. Pusat Solusi windows 2000 end-of-support adalah titik awal untuk merencanakan strategi migrasi Anda dari Windows 2000. Untuk informasi selengkapnya, lihat kebijakan siklus hidup dukungan Microsoft.

Ringkasan

Artikel langkah demi langkah ini menjelaskan cara mengonfigurasi autentikasi untuk permintaan berbasis web di Microsoft Internet Information Services (IIS) 5,0.

Cara kerja autentikasi web

Autentikasi web adalah komunikasi antara browser web dan server web yang melibatkan sejumlah kecil header Hyper Text Transfer Protocol (HTTP) dan pesan kesalahan. Aliran komunikasi adalah:

  1. Browser web membuat permintaan, seperti HTTP-GET.

  2. Server web menjalankan pemeriksaan autentikasi. Jika ini tidak berhasil karena autentikasi diperlukan, server mengirim kembali pesan kesalahan yang sama dengan yang berikut ini:

    Anda tidak diizinkan untuk melihat pageYou ini tidak memiliki izin untuk menampilkan direktori atau Halaman ini menggunakan kredensial yang Anda sediakan.

    Informasi disertakan dalam pesan ini yang bisa digunakan browser web untuk mengirimkan ulang permintaan sebagai permintaan yang diautentikasi.

  3. Browser web menggunakan respons server untuk menyusun permintaan baru yang berisi informasi autentikasi.

  4. Server web menjalankan pemeriksaan autentikasi. Jika pemeriksaan berhasil, server web mengirimkan data yang sebelumnya diminta kembali ke browser web.

Metode autentikasi

Catatan: dengan beberapa metode autentikasi berikut ini, Anda perlu menggunakan drive yang telah diformat dengan sistem file NTFS karena drive yang diformat NTFS mempertahankan tingkat keamanan tertinggi. IIS mendukung lima metode autentikasi web berikut:

Autentikasi anonim

IIS membuat akuncomputername IUSR_ (tempat ComputerName adalah nama komputer) untuk mengautentikasi pengguna anonim saat mereka meminta konten web. Akun ini memberi pengguna hak untuk masuk secara lokal. Anda bisa mereset akses pengguna anonim untuk menggunakan Akun Windows yang valid.Catatan: Anda bisa menyetel akun anonim berbeda untuk situs web yang berbeda, direktori virtual atau direktori fisik, dan file. Jika komputer berbasis Windows 2000 adalah server mandiri, akun IUSR_ComputerName ada di server lokal. Jika server adalah pengontrol domain, akunComputerName IUSR_ ditentukan untuk domain tersebut.

Autentikasi dasar

Gunakan autentikasi dasar untuk membatasi akses ke file di server web yang diformat NTFS. Dengan autentikasi dasar, pengguna harus memasukkan kredensial dan akses berdasarkan ID pengguna. Untuk menggunakan autentikasi dasar, berikan hak kepada setiap pengguna untuk masuk secara lokal dan untuk mempermudah administrasi, tambahkan mereka ke grup yang memiliki akses ke file yang diperlukan.Catatan: karena kredensial pengguna disandikan dengan pengkodean base64 tetapi tidak dienkripsi saat ditransmisikan melalui jaringan, autentikasi dasar dianggap sebagai bentuk autentikasi yang tidak aman.

Autentikasi Windows terintegrasi

Autentikasi Windows terintegrasi lebih aman dari autentikasi dasar dan berfungsi baik dalam lingkungan intranet tempat pengguna memiliki akun domain Windows. Di autentikasi Windows terpadu, browser mencoba menggunakan kredensial pengguna saat ini dari logon domain dan jika gagal, pengguna diminta untuk memasukkan nama pengguna dan kata sandi. Jika Anda menggunakan autentikasi Windows terpadu, kata sandi pengguna tidak ditransmisikan ke server. Jika pengguna telah masuk ke komputer lokal sebagai pengguna domain, pengguna tidak perlu mengotentikasi lagi saat pengguna mengakses jaringan komputer dalam domain tersebut.Catatan: Anda tidak dapat menggunakan autentikasi Windows terpadu melalui server proksi.

Autentikasi ringkasan

Autentikasi ringkasan membahas banyak kelemahan autentikasi dasar. Kata sandi tidak dikirim dalam teks kosong saat Anda menggunakan autentikasi ringkasan. Selain itu, Anda bisa menggunakan autentikasi ringkasan melalui server proksi. Autentikasi ringkasan menggunakan mekanisme tantangan/respons (yang menggunakan autentikasi Windows terpadu) di mana kata sandi dikirim dalam format terenkripsi. Untuk menggunakan autentikasi ringkasan:

  • Server berbasis Windows 2000 harus berada dalam domain.

  • Anda harus menginstal file IISSuba. dll di pengontrol domain. File ini disalin secara otomatis selama penyetelan Server Windows 2000.

  • Anda harus mengonfigurasi semua akun pengguna dengan opsi akun penyimpanan reversibel yang diaktifkan. Mengaktifkan opsi akun ini mengharuskan kata sandi diatur ulang atau dimasukkan kembali.

Catatan: Anda harus menggunakan Microsoft Internet Explorer 5,0 atau yang lebih baru sebagai browser web jika Anda menggunakan autentikasi ringkasan.

Pemetaan sertifikat klien

Pemetaan sertifikat klien adalah metode di mana "pemetaan" dibuat antara sertifikat dan akun pengguna. Dalam model ini, pengguna menyajikan sertifikat dan sistem melihat pada pemetaan untuk menentukan akun pengguna mana yang harus masuk. Anda dapat memetakan sertifikat ke akun pengguna Windows dengan salah satu dari dua cara berikut:

  • Dengan menggunakan direktori aktif.-or-

  • Dengan menggunakan aturan yang ditentukan di IIS.

Untuk informasi tambahan tentang cara memetakan sertifikat klien ke akun pengguna, Cari pemetaan sertifikat klien di dokumentasi IIS. Jika Anda memiliki IIS yang terinstal, Anda bisa menampilkan dokumentasi IIS dengan mengetikkan URL berikut ini di bilah alamat browser web Anda di mana localhost adalah nama host lokal:

http://localhost/iisHelp/iis/misc/default.aspUntuk informasi selengkapnya tentang cara menggunakan sertifikat, klik nomor artikel berikut ini untuk menampilkan artikel di Basis Pengetahuan Microsoft:

290625 Cara mengonfigurasi SSL di lingkungan uji Windows 2000 IIS 5 menggunakan sertifikat server 2,0Anda bisa mengonfigurasi setiap metode autentikasi untuk mengontrol akses ke item berikut ini di server IIS:

  • Semua konten web yang dihosting di server IIS.

  • Situs web individu yang dihosting di server IIS.

  • Direktori virtual individual atau direktori fisik yang ada di situs web.

  • Halaman atau file individual yang ada di situs web.

Cara mengonfigurasi autentikasi situs web IIS

  1. Gunakan akun administratif untuk masuk ke komputer server web.

  2. Klik mulai, arahkan ke program, arahkan ke Alat administratif, lalu klik Manajer Layanan Internet. Snap-In layanan informasi Internet dimulai.

  3. Di pohon konsol, klik * nama komputer tempat nama komputer adalah nama komputer.

  4. Klik kanan salah satu item berikut ini, lalu klik properti:

    • Untuk mengonfigurasi autentikasi untuk semua konten web yang dihosting di server IIS, klik kanan * nama komputer.

    • Untuk mengonfigurasi autentikasi untuk situs web individual, klik kanan situs web yang Anda inginkan.

    • Untuk mengonfigurasi autentikasi direktori virtual atau direktori fisik di situs web, klik situs web yang Anda inginkan, lalu klik kanan direktori yang Anda inginkan, seperti _vti_pvt.

    • Untuk mengonfigurasi autentikasi untuk satu halaman atau file di situs web, klik situs web yang Anda inginkan, klik folder yang berisi file atau halaman yang Anda inginkan, lalu klik kanan file atau halaman yang Anda inginkan.

  5. Pada kotak dialog properti nama item di mana nama item adalah nama item yang Anda pilih, klik tab keamanan direktori .Catatan: jika item yang dipilih adalah file individual, klik tab keamanan file .

  6. Di bawah kontrol akses dan autentikasi anonim, klik Edit.

  7. Klik untuk memilih kotak centang akses anonim untuk mengaktifkan akses anonim. Untuk menonaktifkan akses anonim, klik untuk mengosongkan kotak centang ini.Catatan: jika Anda menonaktifkan akses anonim, Anda perlu mengonfigurasi beberapa bentuk akses yang diautentikasi.

    1. Untuk mengubah akun yang digunakan untuk akses anonim ke sumber daya ini, klik Edit di samping akun yang digunakan untuk akses anonim.

    2. Dalam kotak dialog akun pengguna anonim , klik akun pengguna yang ingin Anda gunakan untuk akses anonim.

    3. Klik untuk mengosongkan kotak centang IZINKAN IIS untuk mengontrol kata sandi jika Anda ingin menggunakan Windows LogonUser () api untuk autentikasi pengguna.Catatan: dengan mengaktifkan opsi kontrol kata sandi ini, ini akan memaksa IIS untuk menggunakan autentikasi normal dan untuk masuk ke akun secara lokal. Anda harus menonaktifkan opsi ini jika pengguna mengalami kesulitan mengakses sumber daya seperti file atau database Microsoft Access di komputer jaringan.

    4. Klik OK.

  8. Di bawah akses terautentikasi, klik untuk memilih kotak centang autentikasi dasar (kata sandi dikirim dalam teks kosong) untuk mengaktifkan autentikasi dasar. Ketika Anda menerima pesan berikut, klik Ya:

    Opsi autentikasi Anda telah memilih hasil dalam kata sandi ditransmisikan melalui jaringan tanpa enkripsi data. Seseorang yang mencoba mengkompromikan keamanan sistem Anda bisa menggunakan Penganalisis protokol untuk memeriksa kata sandi pengguna selama proses autentikasi. Untuk detail selengkapnya tentang autentikasi pengguna, lihat bantuan online. Peringatan ini tidak berlaku untuk koneksi HTTPS (atau SSL). Anda yakin ingin melanjutkan?

    1. Untuk memilih domain yang digunakan untuk mengotentikasi pengguna yang menggunakan autentikasi dasar, klik Edit di samping Pilih domain default.

    2. Ketikkan domain yang Anda inginkan di kotak nama domain , lalu klik OK.Catatan Jika Anda khawatir tentang keamanan pada intranet karena autentikasi dasar akan memancarkan informasi nama pengguna dan kata sandi dalam teks yang jelas, Anda bisa menggunakan autentikasi dasar bersama dengan Secure Sockets Layer (SSL).

  9. Klik untuk memilih kotak centang Digest Authentication untuk Windows domain server untuk menggunakan autentikasi ringkasan. Ketika Anda menerima pesan berikut, klik Ya:

    Autentikasi ringkasan bekerja dengan akun domain Windows 2000 saja dan memerlukan akun untuk menyimpan kata sandi sebagai teks yang jelas terenkripsi. Yakin ingin melanjutkan?Catatan: Anda harus mengonfigurasi akun pengguna dengan mengaktifkan opsi akun enkripsi reversibel .

  10. Klik untuk memilih kotak centang autentikasi Windows terpadu untuk menggunakan autentikasi Windows terpadu.Catatan: metode autentikasi ini sebelumnya dikenal sebagai Microsoft Windows NT Challenge/response atau NT LAN Manager (NTLM).

  11. Klik OK, lalu dalam kotak dialog properti nama item , klik OK. Jika kotak dialog mengesampingkan warisan akan terbuka:

    1. Klik Pilih Semua untuk menerapkan pengaturan autentikasi baru ke semua file atau folder yang ada di dalam item yang Anda ubah.

    2. Klik OK.

  12. Keluar dari Internet Information Services.

Referensi

Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

297954 Cara memecahkan masalah server web di Windows 2000

299970 Cara menggunakan izin NTFS untuk memproteksi halaman web yang berjalan di IIS 4,0 atau 5

216705 Cara mengatur izin pada web FrontPage di IIS

222028 Menyiapkan autentikasi ringkasan untuk digunakan dengan layanan informasi Internet 5,0

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.