Como configurar a autorização de URLs do IIS 6.0

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 326020
Sumário
Para obter mais informações sobre autorização de URLs no Internet Information Services 7.0, visite o seguinte site:
Microsoft Internet Information Services 6.0 funciona com o Gerenciador de autorização no Microsoft Windows Server 2003 para fornecer autorização de URLs do IIS 6.0. Autorização de URLs do IIS 6.0 simplifica a administração de usuário acesso a objetos Web. Na autorização de URLs do IIS 6.0, você pode manter controle de acesso usando atributos da metabase que controlam a autorização de URLs. Esses atributos de metabase são os seguintes:
  • AzEnable
  • AzStoreName
  • AzScopeName
  • AzImpersonate
você pode definir esses atributos de metabase usando de um script. Diretiva de autorização para autorização de URLs do IIS 6.0 é armazenada em um armazenamento de diretiva do Gerenciador de autorização no Active Directory ou em um arquivo .XML.

Para configurar a autorização de URLs do IIS 6.0, você deve criar a pasta de programa sob a pasta Default Web Site no Gerenciador do IIS e, em seguida, desativar o acesso anônimo ao site. Em seguida, você deve definir o caractere curinga propriedades de configuração para apontar para o arquivo URLAuth.dll. Você também deve adicionar URLAuth.dll como uma nova extensão de serviço da Web. Em seguida, você deve configurar um armazenamento de diretiva de autorização no Gerenciador de autorização, configurar o escopo para o programa, adicione o processo de operador do IIS à função de leitores da loja e, em seguida, configurar a metabase do IIS para usar a autorização de URLs do IIS 6.0 para o programa da Web.
INTRODUÇÃO
Microsoft Internet Information Server (IIS) 6.0 acompanha o Microsoft Windows Server 2003. O IIS 6.0 funciona com o Gerenciador de autorização para fornecer autorização de URLs do IIS 6.0. Como um administrador de programa da Web, você pode usar autorização de URLs do IIS 6.0 para controlar o acesso a URLs com base em funções personalizadas do usuário, em consultas LDAP e em RegrasUsoCom.

Para autorizar o acesso de usuário a páginas da Web no IIS, talvez você precise gerenciar muitos Discretionary Access Control Lists (DACLs) em recursos que usam programas da Web. Recursos para programas da Web podem incluir arquivos de página da Web, registros do banco de dados, chaves do Registro e mais.

Uma tarefa é uma coleção de operações de nível inferior. Uma operação é uma permissão de baixo nível que usa um Gerenciador de recursos para identificar os procedimentos de segurança. Com freqüência, operações não são expostos ou para os administradores. Por exemplo, uma operação pode ser WriteAttributes ou ReadAttributes . O objetivo da tarefa é determinar quais operações de nível inferior são necessárias para fazer algumas unidade de trabalho que seja significativo para os administradores. Várias operações podem ser necessário para executar uma tarefa significativa. Para manter as DACLs, você deve saber quais permissões de back-end são necessárias em cada objeto para executar tarefas significativas no programa da Web.

Autorização de URLs do IIS 6.0 simplifica o gerenciamento de acesso, permitindo que você autorizar acesso de usuário para as URLs que compõem um programa da Web. Quando um cliente solicita uma URL, autorização de URLs do IIS 6.0 valida o acesso do usuário baseado nas funções de usuário. Usando autorização de URLs do IIS 6.0, você pode controlar todos os acesso de usuário a URLs em vez de manter uma DACL em cada objeto. Além disso, o programa da Web pode restringir o acesso a recursos e operações usando a estrutura do Gerenciador de autorização baseada em função.

Autorização de URLs do IIS 6.0 é implementada como um interceptador de servidores da Internet (ISAPI) DLL que é configurado como uma extensão de curinga para um programa, para um diretório virtual ou para uma URL. Quando um programa, um diretório virtual ou uma URL é configurada para usar autorização de URLs do IIS 6.0, cada solicitação para uma URL é roteada para o interceptador ISAPI de autorização de URL do IIS 6.0.

O interceptador ISAPI de autorização de URL do IIS 6.0, em seguida, usa o runtime do Gerenciador de autorização para autorizar o acesso para a URL solicitada. Para tempo de execução AzMan autorizar o acesso, o local do programa, o local do diretório virtual ou a URL deve estar associada com um armazenamento de diretiva do Gerenciador de autorização que contém a diretiva de autorização para a URL é solicitada. Após o cliente está autorizado a acessar a URL, a ISAPI de autorização de URL do IIS 6.0 passa a solicitação para o manipulador apropriado para a URL. Por exemplo, a ISAPI de autorização de URL do IIS 6.0 passa a solicitação para o ASP, ASP.NET ISAPIs ou o manipulador de arquivo estático.

Você pode usar autorização de URLs do IIS 6.0 para controlar o acesso com base nas informações que está disponíveis apenas em tempo de execução. Por exemplo, se você tiver uma página da Web que podem exibir somente os funcionários de uma duração específica ou funcionários em um centro de custos específicas, você pode atribuir funções aos usuários corretos com base em consultas LDAP. As consultas LDAP Verifique se o atributo de centro de custo ou o atributo idade em um objeto de usuário em tempo de execução. Se os funcionários podem acessar algumas páginas somente em dias específicos da semana ou apenas durante um horário específico do dia, você pode criar uma RegrasUsoCom que concede acesso à URL com base nesses valores. Você pode criar uma RegrasUsoCom em qualquer valor que pode ser declarada em tempo de execução, incluindo IIS Server Variables.

back to the top

Atributos da Metabase que usa a autorização de URLs do IIS 6.0

Autorização de URLs do IIS 6.0 usa os atributos da metabase na tabela a seguir para definir a autorização em uma URL, em um diretório virtual ou em um programa.
atributo autorização
AzEnable Este atributo permite que a autorização de URLs do IIS 6.0 para o diretório virtual, para o programa ou para a URL que corresponde à entrada na metabase.
AzStoreName Esse atributo associa um armazenamento do Gerenciador de autorização com o diretório virtual, o programa ou a URL.
AzScopeName Esse atributo associa o diretório virtual, o programa ou a URL com um escopo que o atributo AzStoreName refere-se na diretiva do Gerenciador de autorização armazenar em autorização de URLs do IIS 6.0. Se este atributo especifica uma seqüência vazia ou nenhum escopo todo, o escopo padrão de autorização de URLs do IIS 6.0 é usado.
AzImpersonate Esse atributo determina o comportamento representação para o programa. Você pode usar esse atributo para configurar o programa Web para representar o usuário do cliente, o processo de operador do IIS ou a conta IUSER_ 1 para o processo do operador. Cada configuração altera significativamente o ambiente e o design implícito do programa da Web. Defina o valor como 0 , 1 ou 2 . Esses valores correspondem ao estilo de representação.

0 o cliente autenticado é representado. Alguns programas exigem representação do cliente, como programas de ASP 2.0. Use esse valor se você deseja usar autorização de URLs do IIS 6.0 para programas que esperam para ser executado ao representar o cliente, como programas de ASP 2.0.

1 identidade de processo IIS o trabalho é representada. Use esse valor quando o programa é executado como uma conta de serviço, autoriza cada solicitação do cliente e executa operações solicitadas em nome do cliente no contexto de serviço confiável.

2 a conta de usuário anônima é representada. Use esse valor se você deseja usar autorização de URLs do IIS 6.0 para autorizar o acesso de cliente à URL enquanto ainda estiver executando o programa da Web como a conta anônima. Essa configuração limita todo acesso de cliente através do programa da Web.
back to the top

Script para definir os atributos na metabase do IIS

O script a seguir usa a ADSI para definir os atributos da metabase na entrada da metabase do IIS para um programa, para um diretório virtual ou para uma URL.

Observação Esse script pressupõe que você já tenha criado o diretório virtual IIS que corresponde ao programa. Para obter mais informações sobre como criar um diretório virtual do IIS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
816568Como gerenciar sites e diretórios virtuais da Web usando scripts de linha de comando no IIS 6.0
'  SetUrlAuth.vbs '  Configuring UrlAuth with a virtual directory '  This script uses ADSI to configure a virtual directory in the IIS 6.0 metabase to use '  IIS 6.0 URL Authorization. ' '  This script assumes that you have already created the IIS virtual directory '   that corresponds to the program. ' '  After you run this script to verify the settings, use the Adsutil tool in'  the following way: ' '  inetpub\adminscripts\adsutil enum w3svc/1/root/MyApp '  (where MyApp is the application name) '  Use the Authorization Manager MMC snap-in to: '     Create an application that is named IIS 6.0 URL Authorization. '     Create an operation that is named AccessURL and that has an operation ID of 1. '     Create a scope that corresponds to the AzScopeName that is specified to this script. '       This scope name is used to manage access to URLs in this virtual directory. '     Make sure that the IIS worker process has read access to the '       AzMan policy store. To do this, right-click the AzMan store, click Options,'       and then click the Security tab. Set objArgs = WScript.Arguments If objArgs.count < 4 then   wscript.echo "Usage: SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable [ImpersonationLevel]"   wscript.echo ""   wscript.echo "Example:"   wscript.echo " SetUrlAuth w3svc/1/root/MyApp MyApp msxml://d:\inetpub\wwwroot\AzStore.xml True 1"   wscript.echo ""   wscript.echo "Run with 'cscript' command in cmd.exe to avoid msg boxes" Else wscript.echo objargs(0) ' ' Get the interface to the virtual directory object. ' DIM iis set iis = GetObject("IIS://localhost/" & objArgs(0)) ' Set the scope name. This scope will preside over URLs that refer to this virtual directory. ' This scope must exist in the corresponding Authorization Manager store. ' iis.AzScopeName = objArgs(1) ' ' Specify location of Authorization Manager policy store ' iis.AzStoreName = objArgs(2) ' ' Enable IIS 6.0 URL Authorization for this virtual directory. ' iis.AzEnable = objArgs(3) ' ' Set the Impersonation Level property. ' If objArgs.count > 4 then    iis.AzImpersonationLevel = objArgs(4) End if ' ' Write the settings to the metabase. ' iis.SetInfo End if
back to the top

O atributo AzImpersonationLevel

Quando um cliente solicita uma página da Web, autorização de URLs do IIS 6.0 autoriza o acesso de cliente com base na diretiva de autorização do Gerenciador de autorização. O contexto de segurança que o atributo AzImpersonationLevel configura para recuperar dados URL, como um arquivo .htm, requer as permissões de segurança de diretório corretas do IIS e as permissões de sistema de arquivo NTFS corretas. Autorização de URLs do IIS 6.0 facilita manter as permissões de segurança de diretório do IIS e as permissões de NTFS porque autorização de URLs do IIS 6.0 usa o modelo de subsistema confiável.

back to the top

O atributo AzStoreName

Quando autorização de URLs do IIS 6.0 é configurada, você pode identificar um armazenamento de diretiva Gerenciador de autorização através do atributo AzStoreName na entrada da metabase do IIS para o programa, para o diretório virtual ou para a URL.

Para gerenciar a diretiva de autorização, execute estas etapas:
  1. No computador que esteja executando o IIS 6.0, clique em Iniciar , clique em Executar , digite azman.msc e, em seguida, clique em OK .
  2. Na árvore de console, clique Gerenciador de autorização com o botão direito do mouse e clique em Abrir armazenamento de autorização .
  3. Na caixa Nome de armazenamento , digite o caminho do local de armazenamento de autorização que identifica o atributo AzStoreName e, em seguida, clique em OK .
Para obter mais informações sobre como abrir um armazenamento de autorização, consulte o tópico "armazenamentos de autorização e aplicativos" na Ajuda do Authorization Manager Microsoft Management Console (MMC).

back to the top

O atributo AzScopeName

O programa de autorização de URLs do IIS 6.0 gerencia autorização de URLs do IIS 6.0 para o armazenamento que identifica o atributo AzStoreName . O atributo AzScopeName na entrada da metabase é um escopo do Gerenciador de autorização no programa de autorização de URLs do IIS 6.0. Você pode usar este escopo para gerenciar acesso à URL correspondente. Quando você configura um programa, um diretório virtual ou uma URL para autorização de URLs do IIS 6.0, você deve criar um escopo no armazenamento de diretiva de autorização. Este escopo deve ter o mesmo nome como o nome que é especificado no atributo de AzScopeName da entrada da metabase correspondente.

Diretiva de autorização para autorização de URLs do IIS 6.0 é armazenada em um armazenamento de diretiva do Gerenciador de autorização no Active Directory ou em um arquivo .XML. Quando você usa autorização de URLs do IIS 6.0, você pode manter a diretiva de autorização de URLs no mesmo armazenamento de diretiva de autorização como a diretiva de autorização dos programas de Web que usam o Gerenciador de autorização para controlar o acesso ao programa de tarefas e operações. Portanto, você pode gerenciar acesso a URLs e a recursos de programa da Web partir o MMC do Gerenciador de autorização mesmo ou a mesma interface do usuário personalizada.

Esse comportamento fornece um ponto comum para administração de controle de acesso de URLs e dos programas. Portanto, você pode usar os mesmos grupos Gerenciador de autorização e as consultas LDAP mesmas para preencher funções para autorização de URL e autorização do programa.

back to the top

Como configurar a autorização de URLs do IIS 6.0

Esta seção descreve como configurar a autorização de URLs do IIS 6.0 para um programa da Web usando um URL de exemplo. A URL de exemplo chamada WebApp e é instalada e configurada no IIS como um programa na pasta Systemroot\InetPub\WWWroot\WebApp.

Observação Autenticação integrada do Windows é necessária para URLs que usam a autorização de URLs do IIS 6.0. Por padrão, programas da Web IIS e diretórios virtuais Ativar autenticação integrada do Windows. Para obter informações sobre como configurar a autenticação integrada do Windows, consulte o tópico "Autorização integrada do Windows" no arquivo de Ajuda on-line do IIS.

back to the top

Criar sua pasta de programa sob a pasta Default Web Site e, em seguida, desativar o acesso anônimo ao site

  1. Clique em Iniciar , clique em Executar , digite %systemroot%\System32\InetSrv\IIS.msc e, em seguida, clique em OK .
  2. Na árvore de console, clique duas vezes em Internet Information Services , clique duas vezes no nome do seu computador que está executando o IIS, clique duas vezes em Sites , clique duas vezes em Site padrão , clique com o botão direito na pasta que correspondem ao seu programa da Web e em seguida, clique em Propriedades .
  3. Clique na guia Diretório Virtual e, em seguida, clique em criar .
  4. Clique na guia Segurança de diretório e clique em Editar na área de autenticação e controle de acesso .
  5. Clique para desmarcar a caixa de seleção Ativar acesso anônimo .
  6. Clique para marcar a caixa de seleção Autenticação integrada do Windows , clique em OK e, em seguida, clique em OK novamente.
back to the top

Definir o caractere curinga propriedades de configuração para apontar para o arquivo URLAuth.dll

  1. No Gerenciador do IIS, clique com o botão direito na pasta para o programa da Web que você criou e, em seguida, clique em Propriedades .
  2. Na caixa de diálogo Propriedades , clique na guia Diretório Virtual e, em seguida, clique em configuração .
  3. Na área de mapas de aplicativos de caractere curinga (ordem de implementação) , clique em Inserir .
  4. Na caixa de diálogo Adicionar/editar mapeamento de extensão de aplicativo , clique em Procurar .
  5. Na lista arquivos do tipo , clique em todos os arquivos (*. *) .
  6. Localize a pasta Systemroot \System32\InetSrv .
  7. Clique em URLAuth.dll e, em seguida, clique em Abrir
  8. Clique em OK três vezes.

    Observação Você receberá uma mensagem de erro semelhante à seguinte:
    Este caminho executável já está sendo usado
    Se você receber essa mensagem de erro, o arquivo URLAuth.dll já está configurado como um mapeamento de extensão do programa de curinga.
back to the top

Adicionar o arquivo URLAuth.dll como uma nova extensão de serviço da Web

  1. Inicie O Gerenciador do IIS.
  2. Na árvore de console, clique duas vezes em Internet Information Services , clique duas vezes no nome do seu computador que está executando o IIS e, em seguida, clique em Web Service Extensions .
  3. Na lista de tarefas no painel de detalhes, clique em Adicionar uma nova extensão de serviço da Web .
  4. Clique em Adicionar e, em seguida, clique em Procurar .
  5. Localizar \System32\InetSrv\ Systemroot, clique em URLAuth.dll , clique em Abrir e, em seguida, clique em OK .
  6. Na caixa Nome de extensão , digite Autorização de URL .
  7. Clique para marcar a caixa de seleção Definir status da extensão como permitido e, em seguida, clique em OK .
back to the top

Configurar um armazenamento de diretiva de autorização no Gerenciador de autorização

Neste exemplo, você colocar um armazenamento de diretiva de autorização é denominado MyStore.xml na pasta C.
  1. Clique em Iniciar , clique em Executar , digite azman.msc e, em seguida, clique em OK .
  2. Na árvore de console, clique Gerenciador de autorização com o botão direito do mouse e em seguida, clique em Opções .
  3. Clique em modo de desenvolvedor e, em seguida, clique em OK .
  4. Na árvore de console, clique Gerenciador de autorização com o botão direito do mouse e clique em Novo armazenamento de autorização .
  5. Clique em arquivo XML e, em seguida, digite C:\MyStore.xml na caixa nome do armazenamento .
  6. Na caixa Descrição , você pode digite as informações sobre o novo armazenamento. Esta etapa é opcional.
  7. Clique em OK .
  8. Na árvore de console, clique com o botão direito do mouse MyStore.xml e clique em Novo aplicativo .
  9. Na caixa nome , digite Autorização de URLs do IIS 6.0 .
  10. Na caixa Descrição , você pode digite informações sobre esse uso de autorização de URLs do IIS 6.0. Esta etapa é opcional.
  11. Clique em OK .
  12. Na árvore de console, clique duas vezes em Gerenciador de autorização , clique duas vezes em MyStore.xml , clique duas vezes em Autorização de URLs do IIS 6.0 e, em seguida, clique duas vezes em definições .
  13. Clique com o botão direito em Operação definições e clique em Nova definição de operação .
  14. Na caixa nome , digite AccessURL .
  15. Na caixa número de operação , digite 1 e, em seguida, clique em OK .
back to the top

Configurar o escopo para o programa

  1. Na árvore de console Gerenciador de autorização, clique com o botão direito do mouse Autorização de URLs do IIS 6.0 e, em seguida, clique em Novo escopo .
  2. Na caixa nome , digite WebApp e, em seguida, clique em OK .
  3. Na árvore de console, clique duas vezes em Autorização de URLs do IIS 6.0 , clique duas vezes em definições , clique com o botão direito do mouse Definições de função e, em seguida, clique em Nova definição de função .

    Observação Você também pode criar essa definição de função no escopo WebApp .
  4. Na caixa nome , digite Visualizar e, em seguida, clique em OK .
  5. Na árvore de console, clique duas vezes em Definições de função .
  6. No painel de detalhes, clique com o botão direito do mouse em Visualizar e, em seguida, clique em Propriedades .
  7. Clique na guia definição , clique em Adicionar e, em seguida, clique na guia operações .
  8. Clique para selecionar a caixa de seleção AccessURL , clique em OK e, em seguida, clique em OK novamente.
  9. Na árvore de console, clique duas vezes em WebApp , à direita - clique em Atribuições de função e, em seguida, clique em Atribuir funções .
  10. Clique para selecionar a caixa de seleção Visualizador e, em seguida, clique em OK .
  11. No painel de detalhes, clique com o botão direito do mouse em Visualizar e clique em atribuir Windows usuários e grupos .
  12. Na caixa Digite os nomes de objeto a serem selecionados (exemplos) , digite seu nome de usuário e, em seguida, clique em OK .
back to the top

Adicionar o processo de operador do IIS à função de leitores do armazenamento

Por padrão, o IIS é executado na conta do serviço de rede. Você pode configurar um processo do operador IIS seja executado em uma conta diferente. Este exemplo adiciona serviço de rede para a função de leitores.

Observação Se você usar um armazenamento de autorização remoto, como o Active Directory ou um XML remoto com base em arquivo armazenamento e você executar o IIS no contexto de serviço de rede padrão, você deve adicionar a conta do Active Directory do servidor Web que está executando o IIS a função de leitores do armazenamento.
  1. Clique em Iniciar , clique em Executar , digite azman.msc e, em seguida, clique em OK .
  2. Na árvore de console, clique Gerenciador de autorização com o botão direito do mouse e clique em Abrir armazenamento de autorização .
  3. Clique em Procurar , clique em C:\MyStore.xml , clique em OK e em seguida, clique em OK novamente.
  4. Na árvore de console, clique com o botão direito do mouse no armazenamento de e, em seguida, clique em Propriedades .
  5. Clique na guia segurança , clique em leitor na lista de função de usuário de Gerenciador de autorização e, em seguida, clique em Adicionar .
  6. Na caixa Digite os nomes de objeto a serem selecionados (exemplos) , digite Serviço de rede , clique em OK e, em seguida, clique em OK novamente.
back to the top

Configurar a metabase do IIS para usar a autorização de URLs do IIS 6.0 para o programa da Web

  1. Clique em Iniciar , clique em Executar , digite Cmd e, em seguida, clique em OK .
  2. Use o script na seção "Script to set the attributes on the IIS metabase" para criar o arquivo SetUrlAuth.vbs. Salve o arquivo para o diretório \InetPub\AdminScripts . Por padrão, o diretório InetPub é na raiz da unidade onde o IIS é instalado.
  3. Digite o seguinte comando e pressione ENTER:
    CScript SetUrlAuth.vbs Path of virtual directory AzScopeName value AzStoreName AzEnable value [ImpersonationLevel value]
    Por exemplo, você pode digitar o seguinte:
    CScript SetUrlAuth.vbs W3svc\1\Root\WebApp WebApp msxml://C:\MyStore.xml true 1
Autorização de URLs do IIS 6.0 está configurada e em execução para o programa da Web especificado. Os usuários na função visualizar podem localizar as páginas no programa.

importante Se você estiver usando um arquivo .XML, você deve acrescentar msxml: / / ao comando. Se você estiver usando o armazenamento do Gerenciador de autorização do Active Directory, você deve acrescentar msldap: / / ao comando.

back to the top
Referências
Para obter mais informações sobre o Gerenciador de autorização e controle de acesso baseado em função para aplicativos de várias camadas, consulte a seção "Internet Information Services 6.0 autorização de URL" do seguinte site da Microsoft TechNet:Para informações sobre autorização de URL no IIS 7.0, visite o seguinte site: back to the top
vdir

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 326020 - Última Revisão: 06/26/2008 22:13:31 - Revisão: 3.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0

  • kbmt kbhowtomaster kbhowto KB326020 KbMtpt
Comentários