Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Всем пользователям настоятельно рекомендуется обновить службы IIS в Microsoft Windows Server 2008 до версии 7.0. Службы IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения по темам, связанным с безопасностью IIS, см. на веб-сайте корпорации Майкрософт:

http://www.microsoft.com/technet/security/prodtech/IIS.mspxДополнительные сведения по IIS 7.0 см. на веб-сайте Майкрософт:

http://www.iis.net/default.aspx?tabid=1

Эта статья относится к Windows 2000. Поддержка для Windows 2000 заканчивается 13 июля 2010 г. Центр поддержки решений для windows 2000 — это отправная точка для планирования стратегии перехода с Windows 2000. Дополнительные сведения см. в разделе Политика жизненного цикла поддержки Майкрософт.

Аннотация

В этой статье приведены пошаговые инструкции по настройке проверки подлинности для веб-запросов в службах Microsoft Internet Information Services (IIS) 5,0.

Как работает веб-проверка подлинности

Веб-аутентификация — это связь между веб-браузером и веб-сервером, в котором используется небольшое количество заголовков и сообщений об ошибках протокола передачи текста (HTTP). Поток обмена данными:

  1. Веб-браузер выполняет запрос, например HTTP-GET.

  2. Веб-сервер выполняет проверку подлинности. Если это не удалось, так как требуется проверка подлинности, сервер отправляет обратно сообщение об ошибке, подобное следующему:

    У вас нет прав на просмотр этого pageYou, у вас нет разрешения на просмотр этого каталога или страницы с помощью предоставленных вами учетных данных.

    В это сообщение включаются сведения о том, что веб-браузер может использовать для повторной отправки запроса в качестве запроса, прошедшего проверку подлинности.

  3. Веб-браузер использует ответ сервера для создания нового запроса, который содержит сведения для проверки подлинности.

  4. Веб-сервер выполняет проверку подлинности. Если проверка прошла успешно, веб-сервер отправляет данные, изначально запрошенные в веб-браузере.

Способы проверки подлинности

Примечание. при использовании некоторых из указанных ниже способов проверки подлинности вам нужно использовать диски, отформатированные с помощью файловой системы NTFS, так как диски с файловой системой NTFS обеспечивают самый высокий уровень безопасности. Службы IIS поддерживают пять описанных ниже способов проверки подлинности веб-сайтов.

Анонимная проверка подлинности

Службы IIS создают учетную запись IUSR_ComputerName (где ComputerName — это имя компьютера) для проверки подлинности анонимных пользователей при запросе веб-контента. Эта учетная запись предоставляет пользователю право на локальный вход. Вы можете сбросить анонимный доступ, чтобы использовать любую допустимую учетную запись Windows.Примечание. Вы можете настроить разные анонимные учетные записи для разных веб-сайтов, виртуальных каталогов и физических каталогов, а также файлов. Если на компьютере под управлением Windows 2000 установлен изолированный сервер, учетная запись IUSR_ComputerName находится на локальном сервере. Если сервер является контроллером домена, для домена определена учетная запись IUSR_ComputerName .

Обычная проверка подлинности

Использование обычной проверки подлинности для ограничения доступа к файлам на веб-сервере с форматом NTFS. При использовании обычной проверки подлинности пользователь должен ввести учетные данные, а Access — на основе идентификатора пользователя. Для использования обычной проверки подлинности Предоставьте каждому пользователю право на локальный вход в систему, чтобы упростить администрирование, добавьте их в группу, которая имеет доступ к нужным файлам.Примечание. Поскольку учетные данные пользователя закодированы с помощью кодировки Base64, но они не шифруются при передаче по сети, обычная проверка подлинности считается небезопасной формой проверки подлинности.

Встроенная проверка подлинности Windows

Встроенная проверка подлинности Windows более надежна, чем обычная проверка подлинности, и она работает в среде интрасети, где у пользователей есть учетные записи домена Windows. При использовании встроенной проверки подлинности Windows браузер пытается использовать учетные данные текущего пользователя из входного домена, и если это не удается, пользователю будет предложено ввести имя пользователя и пароль. Если вы используете встроенную проверку подлинности Windows, пароль пользователя не передается на сервер. Если пользователь вошел в систему на локальном компьютере как пользователь домена, ему не нужно будет проходить проверку подлинности, когда пользователь получит доступ к сетевому компьютеру в этом домене.Примечание. встроенную проверку подлинности Windows нельзя использовать на прокси-сервере.

Краткая проверка подлинности

Краткая проверка подлинности устраняет многие слабости обычной проверки подлинности. При использовании дайджест-проверки подлинности пароль не отправляется в виде обычного текста. Кроме того, для проверки подлинности можно использовать прокси-сервер. Краткая проверка подлинности использует механизм запроса/ответа (который использует встроенную проверку подлинности Windows), в которой пароль отправляется в зашифрованном формате. Для использования дайджест-проверки подлинности:

  • Сервер под управлением Windows 2000 должен находиться в домене.

  • Файл IISSuba. dll необходимо установить на контроллере домена. Этот файл копируется автоматически во время настройки Windows 2000 Server.

  • Вы должны настроить все учетные записи пользователей с помощью функции "хранить пароль" с включенным параметром " обратимое шифрование ". При включении этой учетной записи пароль необходимо сбросить или повторно ввести.

Примечание. Если используется краткая проверка подлинности, необходимо использовать Microsoft Internet Explorer 5,0 или более поздней версии в качестве веб-браузера.

Сопоставление сертификата клиента

Сопоставление сертификата клиента — это способ, с помощью которого создается "сопоставление" между сертификатом и учетной записью пользователя. В этой модели пользователь представляет сертификат, а система отображает его в сопоставлении, чтобы определить, какую учетную запись нужно войти в систему. Вы можете сопоставить сертификат с учетной записью пользователя Windows одним из двух способов:

  • С помощью службы каталогов Active Directory.-или-

  • С помощью правил, определенных в службах IIS.

Дополнительные сведения о том, как сопоставить клиентские сертификаты с учетными записями пользователей, можно найти в документации по службам IIS. Если вы установили службы IIS, вы можете просмотреть документацию по службам IIS, введя следующий URL-адрес в адресной строке браузера, где localhost — имя локального узла:

http://localhost/iisHelp/iis/misc/default.aspДля получения дополнительных сведений об использовании сертификатов щелкните следующий номер статьи базы знаний Майкрософт:

290625 Настройка протокола SSL в тестовой среде Windows 2000 IIS 5 с помощью сервера сертификации 2,0Вы можете настроить каждый способ проверки подлинности, чтобы управлять доступом к следующим элементам на сервере IIS.

  • Все веб-содержимое, размещенное на сервере IIS.

  • Отдельные веб-сайты, размещенные на сервере IIS.

  • Отдельные виртуальные каталоги или физические каталоги, которые находятся на веб-сайте.

  • Отдельные страницы или файлы на веб-сайте.

Настройка проверки подлинности веб-сайта IIS

  1. Войдите на веб-сервер с помощью учетной записи администратора.

  2. Нажмите кнопку Пуски выберите пункты программы, Администрирование, а затем — Диспетчер служб Интернета. Откроется оснастка "службы IIS".

  3. В дереве консоли щелкните * имя компьютера , где имя компьютера — это имя компьютера.

  4. Щелкните правой кнопкой мыши один из указанных ниже элементов и выберите пункт Свойства.

    • Чтобы настроить проверку подлинности для всего веб-содержимого, размещенного на сервере IIS, щелкните правой кнопкой мыши имя компьютера.

    • Чтобы настроить проверку подлинности для отдельного веб-сайта, щелкните правой кнопкой мыши нужный веб-сайт.

    • Чтобы настроить проверку подлинности для виртуального каталога или физического каталога на веб-сайте, выберите нужный веб-сайт, а затем щелкните правой кнопкой мыши нужный каталог, например _vti_pvt.

    • Чтобы настроить проверку подлинности для отдельной страницы или файла на веб-сайте, выберите нужный веб-сайт, щелкните папку с нужным файлом или страницей, а затем щелкните правой кнопкой мыши нужный файл или страницу.

  5. В диалоговом окне свойства имени элемента , где имя элемента — имя выбранного элемента, откройте вкладку Безопасность каталога .Примечание. Если выбранный элемент является отдельным файлом, откройте вкладку Безопасность файла .

  6. В разделе анонимный доступ и управление проверкой подлинностинажмите кнопку изменить.

  7. Установите флажок анонимный доступ , чтобы включить анонимный доступ. Чтобы отключить анонимный доступ, снимите этот флажок.Примечание. Если вы отключите анонимный доступ, вам нужно настроить форму доступа с проверкой подлинности.

    1. Чтобы изменить учетную запись, используемую для анонимного доступа к этому ресурсу, нажмите кнопку изменить рядом с учетной записью, используемой для анонимного доступа.

    2. В диалоговом окне учетная запись анонимного пользователя выберите учетную запись, которую вы хотите использовать для анонимного доступа.

    3. Снимите флажок Разрешить управление паролем , если вы хотите использовать API Windows LogonUser () для проверки подлинности пользователей.Примечание. Если этот параметр отключен, в IIS используется обычная проверка подлинности и локальный вход в учетную запись. Вы должны отключить этот параметр, если пользователи сталкиваются с проблемами при доступе к файлам или базам данных Microsoft Access на сетевом компьютере.

    4. Нажмите кнопку ОК.

  8. В разделе доступ с проверкой подлинностиустановите флажок Обычная проверка подлинности (пароль отправляется открытым текстом) , чтобы включить обычную проверку подлинности. Нажмите кнопку Да в следующем сообщении:

    Выбранный параметр проверки подлинности приводит к передаче паролей по сети без шифрования данных. Кто-то попытался нарушить безопасность системы, может воспользоваться анализатором протоколов для проверки паролей пользователей в процессе проверки подлинности. Дополнительные сведения о проверке подлинности пользователей можно найти в справке в Интернете. Это предупреждение не относится к подключениям HTTPS (или SSL). Вы действительно хотите продолжить?

    1. Чтобы выбрать домен для проверки подлинности пользователей, использующих обычную проверку подлинности, нажмите кнопку изменить , а затем выберите домен по умолчанию.

    2. В поле Domain Name (доменное имя ) введите необходимый домен, а затем нажмите кнопку ОК.Примечание. Если вы беспокоитесь о безопасности интрасети, так как при обычной проверке подлинности имя пользователя и пароль передаются открытым текстом, вы можете использовать обычную проверку подлинности вместе с протоколом SSL (Secure Sockets Layer).

  9. Установите флажок Краткая проверка подлинности для серверов доменных Windows для использования дайджест-проверки подлинности. Нажмите кнопку Да в следующем сообщении:

    Краткая проверка подлинности работает только с учетными записями домена Windows 2000 и требует, чтобы учетные записи сохранит пароли в зашифрованном виде открытым текстом. Вы действительно хотите продолжить?Примечание. Вы должны настроить учетные записи пользователей с помощью параметра "хранить пароль" с включенным параметром " обратимое шифрование учетной записи".

  10. Установите флажок Встроенная проверка подлинности Windows , чтобы использовать встроенную проверку подлинности Windows.Примечание. Этот способ проверки подлинности ранее назывался Microsoft Windows NT Challenge/Response или NT LAN Manager (NTLM).

  11. Нажмите кнопку ОК, а затем в диалоговом окне свойства имени элемента нажмите кнопку ОК. Если откроется диалоговое окно Переопределение наследования , выполните указанные ниже действия.

    1. Нажмите кнопку выделить все , чтобы применить новые параметры проверки подлинности ко всем файлам или папкам в элементе, который вы изменили.

    2. Нажмите кнопку ОК.

  12. Закройте службы IIS.

Ссылки

Для получения дополнительной информации щелкните приведенные ниже номера статей базы знаний Майкрософт:

297954 Устранение неполадок веб-сервера в Windows 2000

299970 Использование разрешений NTFS для защиты веб-страницы, работающей на IIS 4,0 или 5

216705 Настройка разрешений на веб-сайте FrontPage в службах IIS

222028 Настройка дайджест-проверки подлинности для использования со службами IIS 5,0

Facebook LinkedIn Электронная почта

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×